La sécurité informatique

République Tunisienne
Ministère de l’enseignement Supérieur de la Recherche Scientifique et de la
Technologie
Année Universitaire 2013/2014
INSTITUT DES HAUTES ETUDES DE SOUSSE
Département Technologies de L’informatique
RAPPORT DE STAGE DE FIN D’ÉtuDes
En vue de l’obtention de Licence Appliquée en
Technologies des Réseaux Informatiques
Thème
LA SECURITE INFORMATIQUE
Réalisé par : CAMARA Cheick Ahmed
Encadré par : Mr. MARRAKCHI Hosni
Société d’accueil : CYBER PARC (TUNISIE TELECOM)

Table des matières
INTRODUCTION GENERALE................................................................................................ 5
CHAPITRE I: Présentation de l’entreprise d’accueil................................................................. 6
Introduction ................................................................................................................................ 7
I. Présentation de Tunisie Telecom .................................................................................... 7
1. Fiche d’identité............................................................................................................ 7
2. Logo et identité visuelle .............................................................................................. 8
3. Objectifs et orientations stratégiques........................................................................... 9
II. Présentation du Cyber Parc........................................................................................ 10
CONCLUSION ........................................................................................................................ 11
CHAPITRE II : La Sécurité Informatique ............................................................................... 12
I. Présentation ................................................................................................................... 13
II. Les Principes de la sécurité informatique.................................................................. 14
III. Protections ................................................................................................................. 18
1. Formation des utilisateurs.......................................................................................... 18
2. Poste de travail........................................................................................................... 18
3. Antivirus.................................................................................................................... 19
4. Pare-Feu (Firewall) ou garde barrière ....................................................................... 20
5. Authentification et cryptage ...................................................................................... 21
6. Des outils de sécurité Open Source à tester............................................................... 23
7. Détection d’intrusion ................................................................................................. 25
IV. Les différents enjeux et risques ................................................................................. 27
CONCLUSION ........................................................................................................................ 31
CHAPITRE III : Cas pratique de l’évaluation de la sécurité ................................................... 32
Introduction .............................................................................................................................. 33
I. Questions et utilités de l’étude ...................................................................................... 33
II. Le système d’exploitation Windows ......................................................................... 36
1. Concept et mécanisme de sécurité............................................................................. 39
2. Forces et faiblesses de Windows............................................................................... 43
III. Le système d’exploitation Mac OS ........................................................................... 44
2. Forces et faiblesses de Mac OS ................................................................................. 46
IV. Le système d’exploitation Linux ............................................................................... 47

2. Forces et faiblesses .................................................................................................... 51
CONCLUSION ........................................................................................................................ 52
CHAPITRE IV : Enquête de sécurité informatique................................................................. 53
Introduction .............................................................................................................................. 54
I. Le questionnaire ............................................................................................................ 55
1. Définition................................................................................................................... 55
2. Présentation du questionnaire.................................................................................... 55
3. Présentation de la population..................................................................................... 56
II. Résultats de l’enquête de sécurité informatique........................................................ 56
1. Les Tableaux croisés ................................................................................................. 57
2. Diagrammes et histogrammes du questionnaire........................................................ 70
CONCLUSION ........................................................................................................................ 72
CONCLUSION GENERALE.................................................................................................. 74
ANNEXE ................................................................................................................................. 76
BIBLIOGRAPHIE ................................................................................................................... 77
WEBOGRAPHIE..................................................................................................................... 77

Table des figures
Figure 1 : 1er
Logo de la société TUNISIE TELECOM............................................................. 8
Figure 2 : Logo de la société TUNISIE TELECOM à partir de Septembre 2010 ..................... 9
Figure 3 : Architecture classique.............................................................................................. 20
Figure 4 : Architecture concentré............................................................................................. 21
Figure 5: Logos Windows évolution........................................................................................ 36
Figure 6 : L'arbre généalogique des systèmes d’exploitation de chez Windows..................... 38
Figure 7: Aperçu de Windows Defender.................................................................................. 41
Figure 8: Logos Mac OS évolution.......................................................................................... 44
Figure 9: Aperçu de la procédure de défense du Mac OS........................................................ 46
Figure 10 : Logo de Linux........................................................................................................ 47
Figure 11: Architecture des systèmes Linux ............................................................................ 49
Figure 12 : Histogramme de la satisfaction des utilisateurs..................................................... 57
Figure 13: Histogramme de la satisfaction en fonction du désir de changement de système
d’exploitation ........................................................................................................................... 58
Figure 14: Diagramme de différentes utilisations des systèmes d’exploitation (OS) .............. 65
Figure 15: Histogramme de la satisfaction des utilisateurs en fonction des systèmes
d’exploitation ........................................................................................................................... 66
Figure 16: Notes attribuées aux systèmes d’exploitation par les utilisateurs........................... 67
Figure 17 : Aperçu du questionnaire de l’enquête ................................................................... 76
Table des tableaux
Tableau 1 : La satisfaction et la note de sécurité...................................................................... 57
Tableau 2 : La satisfaction et le désir de changement de système d’exploitation.................... 58
Tableau 3 : Systèmes d’exploitation ayant des antivirus ou pas .............................................. 59
Tableau 4 : Problèmes et divers dégâts en généralité............................................................... 60
Tableau 5 : Problèmes et désir de changer de système d’exploitation..................................... 60
Tableau 6 : Désir de changement d’OS en fonction des différents dégâts............................... 61
Tableau 7 : Comparaison du nombre de désirs de changement de système d’exploitation..... 62
Tableau 8 : Système d’exploitation et Antivirus...................................................................... 62
Tableau 9 : Utilisateur d’un système pour le développement .................................................. 63
Tableau 10 : Utilisateur d’un système pour le travail .............................................................. 63
Tableau 11 : Utilisateur d’un système pour l’éducation .......................................................... 64
Tableau 12 : Utilisateur d’un système pour la détente............................................................. 64
Tableau 13 : Utilisateur d’un système pour d’autres activités ................................................. 65
Tableau 14 : Utilisateurs satisfait ou pas de leur système d’exploitation ................................ 66
Tableau 15 : Notes attribuées aux systèmes d’exploitation ..................................................... 67
Tableau 16 : Appréciation de sécurité d’un système d’exploitation sans antivirus ................. 67
Tableau 17 : Utilisateurs ayant eu des problèmes ou pas......................................................... 68
Tableau 18 : Nouveau système choisi pour remplacer le précédent ........................................ 69

2
INTRODUCTION GENERALE
L’institut des Haute Etude de Sousse est un institut qui fournit une formation complète en
pratique comme en théorie.
Un des aspects de cette démarche se transmet à travers les stages et les projets professionnels
effectués à la fin de la troisième année d’étude. Ce projet qui mettra un terme à ma formation
et par la suite du quel j’obtiendrai le diplôme de licencié en Technologie des Réseaux
Informatiques, ce projet qui s’inscrit dans le cadre professionnel est une initiation à ma future
vie professionnelle. Ce projet a été effectué au sein de la société TUNISIE TELECOM, avec
toutes les conditions requises pour sa réalisation tant au plan matériel, logiciel, que sur le plan
de l’encadrement. Si la notion de sécurité des systèmes informatiques et des données qu'on
traite n'est pas nouvelle, il est évident que le développement extraordinaire des logiciels, des
réseaux et singulièrement de l'Internet en a fait une priorité absolue pour les utilisateurs
particuliers et surtout pour les entreprises. Il ne se passe pas un mois sans que les médias
évoquent des cas de piratages informatiques commis par les désormais célèbres crackers.
L'objectif de ce rapport est de situer clairement la place que doit occuper la sécurité
informatique dans les entreprises, les utilisations personnelles et de présenter les différentes
solutions existantes.
Ce rapport se terminera avec bien entendu une conclusion qui récapitulera les activités
réalisées et les avantages de ma solution. J’évoquerais bien entendu les failles de sécurité qui
se retrouvent dans les systèmes d’exploitation, l’évaluation et la perception des risques, le
pilotage et le contrôle des systèmes d’exploitation.
Ces thèmes permettent de mettre en évidence une perception de la sécurité souvent réduite au
seul domaine informatique, et manquant d’une stratégie globale au niveau de l’entreprise.

3
CHAPITRE I:
Présentation de
l’entreprise d’accueil

4
Introduction
La présentation de la société TUNISIE TELECOM est essentielle dans l’élaboration de notre
projet de fin d’étude d’où la présentation générale de celle-ci.
I. Présentation de Tunisie Telecom
1. Fiche d’identité
Tunisie Telecom, opérateur historique des télécommunications en Tunisie, est issu de l’Office
tunisien des postes et des Télégraphes, administré directement par le Ministère chargé des
Télécommunications jusqu’en 1995. Les activités des postes et des télécommunications ont
été dissociées par une loi numéro 95-36 en date du 17 avril 1995, laquelle a créé l’Office
National des Télécommunications sous la forme d’établissement public à caractère industriel
et commercial doté de la personnalité civile et de l’autonomie financière. A partir de 1995 et
jusqu’en 2004, date de la transformation de l’Office National des Télécommunications en
société anonyme par la loi 2004-30 du 5 avril 2004, l’Office National des
Télécommunications avait une mission de service public et bénéficiait de certaines
prorogatives réservées à l’Etat. La loi 2004-30 du 5 avril 2004 ayant conduit à la
transformation de l’Office National des Télécommunications en société anonyme de droit
tunisien dénommée « Société Nationale des Télécommunications » identifiée sous le nom
commercial « Tunisie Telecom » précise que Tunisie Telecom est soumise, en tant
qu’entreprise publique, à la législation et réglementation applicables aux entreprises
publiques, (notamment la loi numéro 89-9 du 1er février 1989 relative aux participations,
entreprises et établissements publics) et à la législation commerciale (le Code des sociétés
commerciales). Le capital de Tunisie Telecom a été fixé par la loi numéro 2004-30 en date du
5 avril 2004 à 1.400.000.000 TND constitué par un apport en nature égal à la valeur de
l’ensemble du patrimoine apporté par l’Etat à l’Office National des Télécommunications en
application de la loi numéro 95-36 en date du 17 avril 1995 et un apport en numéraire. Le
détail des actifs et passifs apportés à Tunisie Telecom est exposé dans le rapport du
commissaire aux apports qui a fixé l’apport net en nature à la somme de 1.399.999.490 TND
résultant de la différence positive entre un actif évalué à 2.696.763.000 TND et un passif
évalué à 1.296.763.510 TND. En 2006, dans le cadre de la libéralisation du secteur, Tunisie

5
Telecom a fait l’objet d’une privatisation partielle avec l’entrée dans son capital à hauteur de
35% du consortium formé par DIG (Dubai Investment Group) et TECOM, consortium
aujourd’hui dénommé EIT (Emirates International Telecommunications (Tunisie)).
Le groupe Tunisie Télécom est constitué de :
- La Société Mauritano-Tunisienne de Télécom (Mattel)
- La Société Tunisienne d’Entreprises de Télécommunications
- L’Agence Tunisienne de l’Internet
- Le Technopôle de Sfax
- La Société d’investissement DIVA Sicar
- La Société Sousse TechnoCity
- Le Fournisseur d’Accès Internet TOPNET
2. Logo et identité visuelle
Figure 1 : 1er
Logo de la société TUNISIE TELECOM

6
Figure 2 : Logo de la société TUNISIE TELECOM à partir de Septembre 2010
3. Objectifs et orientations stratégiques
Depuis sa création, Tunisie Telecom a œuvré à consolider l’infrastructure des
télécommunications en Tunisie, à maintenir et à améliorer le taux de couverture, de son
réseau fixe et de son réseau mobile. La société songe à aligner les acteurs tunisiens sur une
vision globale pour aider à cadrer les objectifs stratégiques nationaux communs à tous les
acteurs (avancées technologiques, gains économiques et sociétales, attractivité de la Tunisie);
identifier les objectifs à atteindre (en termes d'émergence et de réalisation de projets
pertinents, d'implication des contributeurs et de ressources humaines et matérielles
nécessaires). Par la suite, la société TUNISIE TELECOM procède à l’identification des axes
de développement appropriés pour la Tunisie.
Pour orienter les efforts, ces axes doivent être en nombre limité (pas plus de cinq),
économiquement faisables, techniquement réalisables, flexibles et adaptés aux spécificités
Tunisiennes. Au sujet du renforcement du travail collaboratif public-privé la société effectue
premièrement une mise en place d’un écosystème collaboratif permettant d’aller au-delà de la
recherche fondamentale et capable de proposer une matière exploitable pour l’économique et
le sociétale. Ensuite elle procède à la mise en place d’un modèle de gouvernance participatif
avec des instances de sélection, d'orientation, d'arbitrage, d’accompagnement et de suivi.
Tunisie Telecom est aujourd’hui organisé autour de deux pôles d’activité :
- Le 1er
pôle « Détail » regroupe les services de téléphonie mobile, de téléphonie fixe,
d’Internet (destinés au grand public et aux entreprises) et les services data ou de transmission

7
de données (destinés exclusivement aux entreprises). Tunisie Telecom est aujourd’hui un
acteur majeur sur le marché de la téléphonie mobile (avec une part de marché des abonnés
actifs de 42,6% au 30 septembre 2010) et bénéficie d’une situation de leadership incontestée
sur les marchés de la téléphonie fixe, de l’Internet et de la transmission de données. Le
nombre de clients du pôle détail est en constante augmentation depuis le 31 décembre 2007.
- Le 2e
pôle « Opérateurs et International » regroupe les services d’interconnexion nationale,
de terminaison et de transit et les services de roaming-in.
Tunisie Telecom est ainsi l’opérateur incontournable en Tunisie, proposant aux opérateurs
nationaux et internationaux des services de capacité et d’acheminement de trafic entrant et
sortant à grande échelle. Le chiffre d’affaires de ce pôle est en constante augmentation depuis
l’exercice clos le 31 décembre 2007.
II. Présentation du Cyber Parc
Les Cyber-Parcs représentent un des programmes de soutien et d’appui de la création des
entreprises en Tunisie, et notamment des start-ups spécialisés dans le TIC. Ils sont liés
administrativement au pôle El Ghazala des Technologies de la Communication.
Tunisie Télécom se charge du fonctionnement de 4 Cyber-Parcs : Monastir, Kasserine,
Seliana et Sousse.
Les Cyber-parcs régionaux offrent des espaces fonctionnels avec des équipements et des
réseaux de communications modernes et spécialisés pour accueillir les promoteurs qui
désirent monter des projets de services basés sur les nouvelles technologies de l'Information et
de la Communication.
Le cyber parc est un espace équipé de réseaux modernes d'information et de communication.
L'objectif des Cyber-parcs est d'offrir des espaces fonctionnels avec des équipements et des
réseaux de communications modernes et spécialisés pour accueillir les promoteurs qui
désirent monter des projets de services basées sur les nouvelles technologies de l'information
et de la communication .
Ces services sont orientés vers les organismes économiques et administratifs implantés dans
la région ou dans d'autres endroits du pays ou à l'étranger sous forme de services à distance.
Les cybers parcs sont des espaces réservés à des activités en rapport avec les TIC, il s'agit de:

8
- Centres d'appels.
 Développements des logiciels.
 Développements et mise à jour des sites web.
 Services à distance en relation avec le TIC.
 Hébergement pépinières d’entreprises.
La stratégie nationale consiste en la mise en place d'un cyber-parc dans chaque région du
pays.
Le Cyber-parc régional de Sousse :
o Création : 1/10/2008
o Adresse: avenue Charles de Gaulle, Hammam Sousse.
o Superficie couverte: 1000 m²
o Superficie des bureaux : 558 m²
o Nombre de bureaux : 26
o Services Communs : Salle de réunion, service d’accueil et bureau d’ordre.
o Nombre d’entreprises hébergées: 18
o Nombre d'emploi créés: 68
CONCLUSION
Au sein de la société, il au sein de la société, il s’est posé une problématique au niveau de la
sécurité informatique su réseau et des machines, ce qui nous conduira au second chapitre de
notre travail qui s’intitule « La Sécurité Informatique ». Il s’agira de présenter la sécurité
informatique tout en énonçant se différents outils utilisés, enjeux et risques.

9
CHAPITRE II : La Sécurité
Informatique

10
I. Présentation
Les utilisateurs d’ordinateurs sont de plus en plus nombreux et ces ordinateurs sont
généralement connectés entre eux, à des disques amovibles ou à des réseaux, en particulier à
l’internet. Si ces utilisateurs ne prennent pas un minimum de précautions, leurs ordinateurs
peuvent être facilement attaqués.
La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour
protéger les ordinateurs et les données qui y sont stockées. Si elles sont élaborées par des
spécialistes, les plus simples doivent être connues et mises en œuvre par tous les utilisateurs.
C’est l’objectif de cette présentation de la sécurité informatique d’information qui propose des
fiches pratiques et des conseils destinés à tous les publics (particuliers, professionnels, PME).
Il comporte également des actualités et avertit de menaces nouvellement rencontrées qui
appellent une action rapide des utilisateurs pour en limiter les effets.
Ce chapitre aidera à décoder le jargon des spécialistes de la sécurité informatique et permettra
ensuite d’être capable de percer le mystère à des fiches techniques pour compléter
l’information de l’utilisateur sur les chevaux de Troie, le filoutage (phishing), l’importance
des mises à jour, etc.
Si l’on souhaite entrer plus avant dans la connaissance de la sécurité informatique,
des modules d’autoformation sont proposés sur les thèmes des mots de passe, ou encore de
l’importance d’avoir une politique de sécurité.
Les utilisateurs d’un ordinateur personnel sont exposés à des risques et à des menaces dont il
faut se protéger. Dans cette perspective, ils peuvent utiliser le logiciel de sensibilisation et
d’aide développé par des compagnies de sécurité informatique dont quelques exemples seront
énoncés dans la partie suivante.

11
II. Les Principes de la sécurité informatique
1. Exigences fondamentales
La sécurité informatique comme étant l’ensemble des moyens mis en œuvre pour réduire la
vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles, se convient
d'identifier les exigences fondamentales en sécurité informatique. Elles caractérisent ce à quoi
s'attendent les utilisateurs de systèmes informatiques en regard de la sécurité.
Du point de vue de la sécurité informatique, une menace est une violation potentielle de la
sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive.
2. Étude des risques
Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi.
Il est nécessaire de réaliser une analyse de risque en prenant soin d'identifier les problèmes
potentiels avec les solutions avec les coûts associés. L'ensemble des solutions retenues doit
être organisé sous forme d'une politique de sécurité cohérente, fonction du niveau de tolérance
au risque. On obtient ainsi la liste de ce qui doit être protégé.
Il faut cependant prendre conscience que les principaux risques restent : « câble arraché »,
« Coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD
Bonux »…
Voici quelques éléments pouvant servir de base à une étude de risque:
Quelle est la valeur des équipements, des logiciels et surtout des informations ?
Quel est le coût et le délai de remplacement ?
Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau
(programmes d'analyse des paquets, logs…).
Quel serait l’impact sur la clientèle d'une information publique concernant des intrusions
sur les ordinateurs de la société ?

12
3. Établissement d’une politique de sécurité
Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut
préparer une politique à l'égard de la sécurité. C’est elle qui fixe les principaux paramètres,
notamment les niveaux de tolérance et les coûts acceptables. Voici quelques éléments pouvant
aider à définir une politique :
Quels furent les coûts des incidents informatiques passés ?
Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ?
Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle
devient contraignante ?
Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de
l’externe ?
Quelle est la configuration du réseau et va-t-il avoir des services accessibles de l’extérieur ?
Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la
confidentialité des informations (ex: loi « informatique et liberté », archives comptables…) ?
4. Éléments d’une politique de sécurité
Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son
maillon le plus faible. En plus de la formation et de la sensibilisation permanente des
utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :
 Défaillance matérielle :
Tout équipement physique est sujet à défaillance (usure,
vieillissement, défaut…) L'achat d'équipements de qualité et standard accompagnés d'une
bonne garantie avec support technique est essentiel pour minimiser les délais de remise en
fonction. Seule une forme de sauvegarde peut cependant protéger les données.
 Défaillance logicielle :
Tout programme informatique contient des bugs. La seule façon de se protéger efficacement
contre ceux-ci est de faire des copies de l'information à risque. Une mise à jour régulière des
logiciels et la visite des sites consacrés à ce type de problèmes peuvent contribuer à en
diminuer la fréquence.

13
 Accidents (pannes, incendies, inondations…) :
Une sauvegarde est indispensable pour protéger efficacement les données contre ces
problèmes. Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des
échelles de temps différentes :
réseau (quotidienne)
La disposition et l’infrastructure des locaux peuvent aussi fournir une protection intéressante.
Pour des sites particulièrement importants (site informatique central d’une banque…) il sera
nécessaire de prévoir la possibilité de basculer totalement et rapidement vers un site de
secours (éventuellement assuré par un sous-traitant spécialisé). Ce site devra donc contenir
une copie de tous les logiciels et matériels spécifiques à l’activité de la société.
 Erreur humaine :
Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce
problème.
 Vol via des dispositifs physiques (disques et bandes) :
Contrôler l'accès à ces équipements : ne mettre des unités de disquette, bandes… que sur
les ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillances.
 Virus provenant de disquettes :
Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en service.
L’installation de programmes antivirus peut s’avérer une protection efficace mais elle est
coûteuse, diminue la productivité, et nécessite de fréquentes mises à jour.
 Piratage et virus réseau :
Cette problématique est plus complexe et l’omniprésence des réseaux, notamment
l’Internet, lui confère une importance particulière. Les problèmes

14
5. Principaux défauts de sécurité
Les défauts de sécurité d’un système d’information les plus souvent constatés sont :
Installation des logiciels et matériels par défaut.
Mises à jour non effectuées.
Mots de passe inexistants ou par défaut.
Services inutiles conservés (Netbios…).
Traces inexploitées.
Pas de séparation des flux opérationnels des flux d’administration des systèmes.
Procédures de sécurité obsolètes.
Eléments et outils de test laissés en place dans les configurations en production.
Authentification faible.
Télémaintenance sans contrôle fort.
6. Éléments de droits
Intrusions informatiques : Loi « Godfrain » de l’Etat De La Jurisprudence Française du 05
Janvier 1988.
 Article 323-1.
Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de
traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 €
d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données
contenues dans le système, soit une altération du fonctionnement de ce système, la peine est
de deux ans d’emprisonnement et de 30 000 € d’amende.
 Article 323-2.
Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de
données est puni de trois ans d’emprisonnement et de 45 000 € d’amende.
 Article 323-3.
Le fait d’introduire frauduleusement des données dans un système de traitement automatisé,
ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois
ans d’emprisonnement et de 45 000 € d’amende.
Loi 78/17 du 6/01/78 relative à l’informatique, aux fichiers et aux libertés
 Article 29.

15
Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage
de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de
préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés.
III. Protections
1. Formation des utilisateurs
On considère généralement que la majorité des problèmes de sécurité sont situés entre la
chaise et le clavier, c’est à dire l’utilisateur de la machine en question.
 Discrétion : la sensibilisation des utilisateurs à la faible sécurité des outils
de communication et à l’importance de la non divulgation d’informations par ces moyens
est indispensable. En effet il est souvent trop facile d’obtenir des mots de passe par
téléphone ou par e-mail en se faisant passer pour un membre important de la société.
 Virus : plusieurs études récentes (2012) montrent que 1/3 des utilisateurs
ouvriraient encore une pièce jointe d’un courrier nommée « i love you » en 2001 et
que la moitié ouvriraient une pièce nommée « ouvrez-ça » ou similaire… L’information
régulière du personnel est nécessaire, attention toutefois aux rumeurs (hoax).
 Charte : l’intérêt principal d’une charte d’entreprise est d’obliger les employés à lire
et signer un document précisant leurs droits et devoirs et par la même de leur faire
prendre conscience de leur responsabilité individuelle.
2. Poste de travail
Le poste de travail reste un maillon faible de la sécurité. Le projet TCPA (Trusted Computing
Platform Alliance) a pour but d’améliorer sa sécurité en dotant le PC d’une puce dédiée à la
sécurité. Elle sera chargée de vérifier l’intégrité du BIOS, du chargement de l’OS, de
sauvegarder les clés et certificats (PKI) et connaîtra les protocoles de cryptage (RSA, DES…).
 Plusieurs cartes mères possèdent un cavalier interdisant la reprogrammation du BIOS
(flashage), vérifier et mettre en place ce cavalier sur tous les postes !
 Lecteur de disquette : Interdire le Boot disquette (BIOS) voir inhiber complètement le
fonctionnement du lecteur.

16
 Lecteur de CD-ROM : les virus de Boot sont très rares sur CD, mais avec la
généralisation des graveurs et la simplification des logiciels de gravure…
 Backup régulier et sécurisé des informations essentielles.
 Multiboot : à éviter au maximum car la sécurité globale du poste est celle de l’OS le
plus fragile et de plus il existe des logiciels permettant de lire sous un OS les autres
partitions en ignorant alors les sécurités (exemple : lecture de fichiers NTFS sans tenir
compte des droits).
3. Antivirus
Principale cause de désagrément dans une entreprise, les virus peuvent être combattus à
plusieurs niveaux. La plupart des antivirus sont basés sur l’analyse de signature des fichiers,
la base des signatures doit être très régulièrement mise à jour sur le site de l’éditeur (des
procédures automatiques sont généralement possibles).
Il existe deux modes de protections :
 Généralisation de l’antivirus sur toutes la machines, il faut absolument prévoir une
mise à jour automatique de tous les postes via le réseau.
 Mise en place d’antivirus sur les points d’entrée/sortie de données du réseau après
avoir parfaitement identifiés tous ces points. La rigueur de tout le personnel pour les
procédures doit être acquise.
La plupart des virus actuels utilisent la messagerie comme un vecteur de transmission.
Les vers s’installent et s’exécutent sans l’intervention de l’utilisateur (exécutable ouvert
automatiquement, exploitation d’une faille du logiciel de messagerie…). La protection contre
les virus en provenance de la messagerie doit être effectuée, non pas au niveau du poste de
travail, mais du serveur. Ainsi certains antivirus agissent au niveau du coupe- feu, les deux
outils coopérant via le protocole CVP (Content Vectoring Protocol) qui normalise leur
communication. Les clients de messagerie de Microsoft sont victimes de leurs
enrichissements en recourant à Word ou au HTML pour éditer le message, ils rendent
possible l’exécution de macrovirus. La parade la plus simple consiste à n’utiliser ces
clients de messagerie qu’en mode texte.
Il faut aussi préciser que la mise en place d’un antivirus sur le firewall n’est d’aucun secours
en cas de fichiers cryptés.

17
4. Pare-Feu (Firewall) ou garde barrière
C’est une machine dédiée au routage entre LAN et Internet. Le trafic est analysé au niveau
des datagrammes IP (adresse, utilisateur, contenu…). Un datagramme non autorisé sera
simplement détruit, IP sachant gérer la perte d’information. Une translation d’adresse pourra
éventuellement être effectuée pour plus de sécurité (protocole NAT : Network Address
Translation). Néanmoins, il faut faire très attention car un firewall est inefficace contre les
attaques ou les bévues situées du coté intérieur et qui représentent 70% des problèmes de
sécurités.
a. Architecture classique
Figure 3 : Architecture classique

18
b. Architecture concentré
Figure 4 : Architecture concentré
5. Authentification et cryptage
L’authentification est basée sur les 3 principes :
Savoir : login, mot de passe…
Être : biométrie (empreintes…)
Avoir : clés USB, carte à puce, « token ».
Une authentification est dite forte lorsqu’elle utilise deux mécanismes différents (carte à
puce avec mot de passe par exemple).
"Nom + mot de passe + date" sont cryptés avec des clés publiques et privées (RFC 1510). Le
cryptage de la date évite la réutilisation éventuelle du message par un pirate. Par le
cryptage on peut identifier de manière sûre l'utilisateur connecté. Pour éviter l’espionnage, la
modification du contenu, l’ajout de message... on pourra utiliser la signature électronique
(CRC crypté en fin de message) ou crypter toute l’information.
Les infrastructures PKI (Public Key Infrastructure) devraient se développer. Pour l’instant,

19
le protocole SSL (Secure Socket Layer) domine toujours largement le marché
de l’authentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un
processus d’authentification dans son en-tête) constituent encore la solution retenue par la
majorité des entreprises.
a. Cryptage symétrique
Une même clé est utilisée pour crypter et décrypter le message, très efficace et assez
économe en ressources CPU cette technique pose le problème de la distribution des clés dans
un réseau étendu (exemple DES, triple DES ou le récent AES).
b. Cryptage asymétrique
Chaque utilisateur dispose d’un jeu unique de clés, dont l’une est privée (secrète) et
l’autre publique (exemple RSA). Pour recevoir des documents protégés, le détenteur d'un jeu
de clés envoie sa clé publique à ses interlocuteurs, qui l’utilisent pour chiffrer les données
avant de les lui envoyer. Seul le destinataire et détenteur des clés peut lire les informations
en associant sa clé privée à sa clé publique. Cette technique nécessite des clés plus longues
pour une sécurité équivalente.
c. Protocoles courants
SSL (Secure Socket Layer) de Netscape est le protocole le plus répandu pour établir une
connexion sécurisée entre client et serveur. Il situé entre les couches TCP et HTTP. Ce
protocole public utilise une clé 40 bits (version d’exportation) avec l’algorithme RSA pour
chiffrer toute la transaction. Ce protocole ne peut garantir l’identité de l’interlocuteur.
SET (Secure Electronic Transaction) : est la convergence des deux procédures de sécurisation
STT (Secure Transaction Technology) de Visa et Microsoft et SEPP (Secure Electronic
Payment Protocol) de Mastercard, IBM et Netscape. Il permet de sécuriser les transactions par
cartes bancaires (chiffrement par clés publiques/privées et authentification des parties).
C-SET (Chip Secure Electronic Transaction) : est l’adaptation du protocole SET à la carte à
puce française.
S/MIME (Secure Multipurpose Internet Mail Extension) est le protocole le mieux accepté
pour la sécurisation des courriers électroniques.

20
d. PKI (Public Key Infrastructure)
L'infrastructure PKI repose sur la notion de chiffrement asymétrique. Pour s’authentifier, en
revanche, le détenteur des clés utilise un certificat, sorte de document électronique faisant
office de carte d’identité électronique. Inséré dans un message, lors d'un paiement sur
Internet par exemple, ce certificat joue le rôle de signature numérique. Il contient des
informations relatives à l’identité du détenteur, son champ d’application (date de validité,
types d’applications, etc.) et la clé publique. Un tiers de confiance garantit l’association ente
un individu et les données contenues dans le certificat.
La gestion des certificats en interne implique des infrastructures lourdes afin d’enregistrer les
demandes, de vérifier la validité des certificats, de gérer les pertes ou les vols (risques
d'autant plus importants lorsque le certificat est inclus dans un support physique tel qu’une
carte à puce). Il faudra, de plus, assurer la protection des serveurs contre le piratage.
Difficile en interne, la gestion des infrastructures PKI peut être confiée à des prestataires
spécialisés, tels que Certplus (en France) et Verisign (aux États-Unis), ou encore
auprès d'une banque. Typiquement, un Français, client d'une banque française jouant le
rôle de tiers certificateur, qui achète sur un site américain, aura du mal à imposer son
certificat si son organisme bancaire n’est pas reconnu aux États-Unis comme un prestataire
digne de confiance.
6. Des outils de sécurité Open Source à tester
La sécurité des données est toujours en tête des problématiques traitée par les DSI et les RSSI,
et dès lors qu'il s'agit de trouver les bons outils, les difficultés s'accumulent. Des solutions
Open Sources répondent à certaines de ces problématiques. Nous avons décidé de mettre
l'accent sur cinq d'entre elles.
Si les menaces exploitant les vulnérabilités du réseau et des logiciels augmentent à un rythme
effréné, de bons outils de sécurité peuvent constituer une bonne défense contre la plupart des
menaces qui trainent sur Internet. Voici une petite sélection de cinq solutions de sécurité Open
Source.

21
 PacketFence : contrôle d’accès des réseaux filaires et sans fils développé par la société
canadienne Inverse, PacketFence est un outil de contrôle d’accès réseau ((NAC ou
Network Access Control) pour réseaux filaires et sans fil. Administrable à distance, il
travaille de concert avec le système de détection d'intrusions Snort et le scanner de
vulnérabilités Nessus. Les principales caractéristiques comprennent le support de la VoIP,
du 802.1X, l'isolement des dispositifs menaçants et une interface de gestion basée sur le
web.
 SmoothWall, un firewall complet Open Source ou appliance. Ce projet Open Source a
commencé en l’an 2000 sous l’appellation SmoothWall Express, SmoothWall est un pare-
feu fourni avec son propre système d’exploitation Linux et une interface d’administration
web. Il peut être téléchargé sous la forme d’une image ISO pour la plateforme X86. Le
produit propose l’ensemble des fonctionnalités standards d’un pare-feu et assure la qualité
de service (QoS), les statiques de trafic, la fonction de proxy web et la fourniture de
graphiques en temps réel. La compagnie qui développe ce produit en Open Source offre
un support commercial et vend ces propres appliances.
 ModSecurity est un pare-feu pour Apache qui a été développé par la société américaine
Trustwave. ModSecurity est un pare-feu web Open Source (WAF) développé pour le
serveur Apache. Il possède son propre langage de programmation pour se prémunir contre
les menaces web. Installés en tant que module Apache, ModSecurity surveille et analyse
en temps réelle trafic http, les logs et les tentatives d’intrusion. Comme il est exécuté dans
Apache, ModSecurity suit les évolutions du célèbre serveur web. Ce firewall serait
déployé sur environ 10 000 serveurs dans le monde.
 Untangle, une distribution spéciale de sécurité. Livrée sous la forme d’une image ISO,
Untangle est une distribution Linux de sécurité multi-usages. Elle s’exécute sur un
appliance ou dans une machine virtuelle. La distribution Untangle inclut des outils de
sécurité gratuites incluent un filtre web/Anti-Phishing, un antivirus, un anti-spam, un anti-
spyware, un pare-feu, des outils de reporting et un VPN. Différents niveaux de support
commercial sont proposés en fonction des besoins.
 TrueCrypt est un moyen de cryptage en temps réel. Le chiffrement est une brique
fondamentale pour assurer la sécurité des données. Le projet Open Source TrueCrypt a
pour but de faciliter cette question. Reposant sur un disque virtuel crypté, TrueCrypt est
capable de chiffrer une partition ou l’intégralité d’un disque dur interne, une clé USB ou
un périphérique de stockage externe. Assuré en temps réel, le cryptage serait transparent

22
pour l’utilisateur. Pour travailler plus vite, cet outil prend également en charge
l’accélération de cryptage matérielle disponible sur les derniers processeurs.
7. Détection d’intrusion
Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système
d'authentification, etc.), il est encore possible de l’arrêter avant qu'il n’attaque. Placés
sur le réseau de l’entreprise, les outils de détection d'intrusion décèlent tout comportement
anormal ou trafic suspect.
Malgré la mise en place de solutions d’authentification, chargées de filtrer et de contrôler
les accès au réseau, il arrive que des intrus y pénètrent. C’est même le propre des pirates que
de contourner les serveurs d’authentification, coupe-feu et autres barrières de protection des
systèmes. Une fois entrés, plus rien ne les empêche de saboter, de voler et d’endommager les
applications. Interviennent alors les systèmes de détection d'intrusion. En auscultant en
permanence le trafic, ils repèrent le hacker et alertent aussitôt l’administrateur.
Protégeant l’entreprise des attaques externes, ces systèmes sont également capables de
détecter le pirate interne qui représente encore entre 70 à 80% des actes de malveillance
auxquels sont confrontées les sociétés. Il existe deux catégories d’outils sur le marché : la
première analyse le trafic réseau, la seconde étudie le comportement des utilisateurs au niveau
d’un système ou d’une application. Dans tous les cas, des ressources humaines devront être
affectées à la supervision des systèmes de détection d’intrusion pour gérer les alertes, mais
aussi pour détecter ce que les outils n’auront peut-être pas vu. Coûteuses, ces ressources
freineraient aujourd'hui les entreprises dans l’adoption de ces solutions.
a. Surveillance du trafic réseau
Baptisés sondes ou encore sniffer, ce sont des outils de détection d’intrusion qui s’installent à
un point stratégique du réseau. Ils analysent en permanence le trafic à la recherche d’une
signature connue de piratage dans les trames. Ces systèmes ne repèrent que les attaques qui
figurent déjà dans leur base de signatures. Ces sondes doivent être :
- Puissantes (débits des réseaux élevés) pour analyser toutes les trames.
- Capables de conserver un historique (actes de malveillance divisés sur plusieurs

23
trames).
- Fiable, c’est à dire tolérante aux pannes (retour à l’état initial après une interruption).
b. Analyse du comportement de l’utilisateur
Installée sur les OS ou sur les applications, l’analyse du comportement scrute les fichiers
d’événements et non plus le trafic. Cette technique est encore trop coûteuse car trop de
compétences sont nécessaires.
Des agents sont placés sur le système ou l’application supervisés. Ces agents autonomes
disposent de capacité d’apprentissage. Leur mission consiste à repérer tout abus (personne
qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n’a pas
accès) ou comportement suspect (personne qui, par exemple, scanne toute une base de
données alors qu’en temps normal, elle n’effectue que deux à trois requêtes par jour). De
même, le transfert de certains courriers peut être bloqué lorsque ces documents comportent
certains mots (préalablement déterminés par l’administrateur) pouvant indiquer la fuite
d’informations. Pour être efficaces, ces solutions doivent bénéficier d’une puissance
suffisante afin d’analyser tous les événements en temps réel, mais aussi de mécanismes qui
les protègent des attaques.
c. Site « pot de miel »
Ces sites « honey pot » sont sensés détourner les pirates des zones sensibles en leur
donnant l’impression qu’ils sont entrés au cœur du site de l’entreprise visée.
L’efficacité reste à démontrer, il semblerait que ce soit suffisant pour se protéger des amateurs
qui sont les plus nombreux.

24
IV. Les différents enjeux et risques
Plusieurs types d'enjeux doivent être maitrisés :
- L'intégrité : Les données doivent être celles que l'on s'attend à ce qu'elles soient, et ne
doivent pas être altérées de façon fortuite ou volontaire.
- La confidentialité : Seule les personnes autorisées ont accès aux informations qui leur sont
destinées. Tout accès indésirable doit être empêché.
- La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation
prévues, garantir l'accès aux services et ressources installées avec le temps de réponse
attendu.
- La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les
opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit
pouvoir s'attribuer les actions d'un autre utilisateur.
- L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux
espaces de travail pertinents et maintenir la confiance dans les relations d'échange.
La sécurité informatique est un défi d'ensemble qui concerne une chaine d'éléments : Les
infrastructures matérielles de traitement ou de communication, les logiciels (systèmes
d'exploitation ou applicatifs), les données, le comportement des utilisateurs. Le niveau global
de sécurité étant défini par le niveau de sécurité du maillon le plus faible, les précautions et
contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte
auquel le système d'information est censé apporter service et appui.
On distingue trois types de sécurité :
- Sécurité humaine
Un centre regroupant un ou plusieurs serveurs hébergeant les informations sensibles d’une
entreprise est une cible de choix pour des êtres mal intentionnés. C’est pourquoi la sécurité
des accès doit être surveillée au mieux. Pour une sécurité des informations maximale, la
présence humaine continue (gardiennage 24/24) peut être renforcée par un système de vidéo
surveillance, de régulation d’entrées/sorties par badges et d’alerte anti -intrusion déployé dans
l’ensemble de ce bâtiment.

25
- Sécurité physique et matérielle
Pour éviter la destruction des informations en cas de destruction d’un serveur, les
équipements déclarés comme sensibles doivent être systématiquement redondés, c’est -à-dire
dupliqués en un ou plusieurs endroits. Il existe aujourd’hui des systèmes et des techniques de
sauvegarde de données régulières afin d’éviter les pertes de données imprévues (par exemple
le fonctionnement de deux disques miroirs via RAID1 (Redundant Array of Independent
Disks) ou l’utilisation de scripts de sauvegarde automatique). Pour résister à une coupure
(criminelle ou non) de ressources, un centre de serveurs se doit aussi de bénéficier d’une
autonomie électrique régulièrement testée en cas de coupure électrique. Il peut aussi
bénéficier d’un système de sécurité incendie ainsi que d’un groupe de refroidissement
autonome adapté pour réguler au mieux la température des serveurs et en protéger le matériel,
même en cas de coupure d’eau.
- Sécurité logicielle
Pour bien protéger son système d’information, il est nécessaire de protéger son système de
toutes les attaques logicielles.
Il existe trois catégories d’attaques :
- les attaques qui permettent d’obtenir des informations ou des privilèges pour mener un autre
type d’attaque. On parle d’attaque par rebond.
- les attaques simultanées par collusion : technique qui consiste à déclencher de nombreuses
attaques de manière coordonnée. Cette technique est notamment utilisée pour l’analyse de
cryptogramme.
- les attaques simultanées par coordination sur une cible unique : il s’agit de coordonner une
attaque utilisant de très nombreux systèmes pour saturer la cible.
Voici les principales attaques logicielles connues à ce jour. Cette liste n’est bien sûr pas
exhaustive :
- Brouillage : attaque de haut niveau utilisant les rayonnements électromagnétiques qui
rendent le SI inopérant.
- Écoute : sauvegarde des informations qui transitent sur un réseau informatique ou de
télécommunication.

26
- Cryptanalyse : attaque d’un chiffre. Pour assurer cette attaque, d’excellentes connaissances
en mathématiques et une forte puissance de calcul sont requises.
- Mystification : simulation de la part de l’attaquant du comportement d’une machine pour
tromper un utilisateur. Par exemple, un terminal de paiement invitant à entrer ses données
bancaires confidentielles
- Trappe (ou Backdoor) : point d’entrée dans une application placée par un développeur.
- Asynchronisme : exploitation du fonctionnement asynchrone de certaines parties ou
commandes du système d’exploitation.
- Souterrain : type d’attaque qui évite de s’attaquer directement à une protection mais qui
tente de s’en prendre à un élément qui la supporte.
- Salami : acquisition imperceptible de données parcellaires d’un SI en vue de les rassembler
et d’obtenir un tout exploitable.
- Balayage (scanning) : cette technique consiste à envoyer au SI un ensemble de requêtes de
natures diverses afin d’examiner les réponses du système. En automatisant ces sollicitations
du SI, le pirate pourra facilement trouver le nom de certains utilisateurs et pourquoi pas leur
mot de passe.
- Exploitation d’un défaut (bug) : De nombreuses failles sont présentes dans les logiciels
commerciaux. Ces failles sont exploitées à des fins malveillantes par les pirates.
- Logiciel espion (spyware) : logiciel malveillant infectant un ordinateur dans le but de
collecter et de transmettre, de manière invisible, des informations de l’environnement sur
lequel il est installé.
- Canal caché : Attaque de très haut niveau permettant de récupérer des informations en
violant la politique de sécurité. Il existe 4 canaux cachés :
● Les canaux de stockage pour le transfert/la récupération d’informations
● Les canaux temporels pour étudier les temps de réponse du SI
● Les canaux de raisonnement qui permettent à un processus de déduire de l’information à
laquelle il n’a pas normalement accès
● Les canaux dits de “fabrication” qui créent de l’information fausse.

27
- Réseau de robots logiciels (botnet) : Réseau de robots logiciels (bots) installés sur
énormément de machines. Ces robots se connectent sur des serveurs IRC (Internet
Relay Chat) à partir desquels ils reçoivent des instructions de type : envoi de spam, vol
d’informations, participation à des attaques de saturation…
- Perturbation : L’agresseur va essayer de fausser le comportement du SI ou de l’empêcher de
fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs.
L’agresseur veut désorganiser, affaiblir ou ralentir le système cible.
- Saturation : technique consistant à remplir une zone de stockage ou un canal de
communication jusqu’à ce que l’on ne puisse plus l’utiliser.
- Pourriel (spam) : courrier électronique indésirable transmis à une multitude de destinataires
envoyés sans que l’émetteur ne soit au courant. Le spam contribue à la pollution voir à la
saturation des boîtes aux lettres électroniques.
- Canular (hoax) : rumeur propagée, souvent par courrier électronique, comme quoi un
virus catastrophique circule sur la toile, virus imaginaire bien évidement. Ce n’est pas une
réelle attaque mais cela contribue à la désinformation générale.
- Hameçonnage ou filoutage (phishing) : Technique simple qui permet d’obtenir des
informations confidentielles telles que les mots de passe en se faisant passer auprès des
victimes pour quelqu’un digne de confiance. Par exemple, une banque qui demande des codes
confidentiels...
- Les virus : Un virus informatique est un logiciel malveillant conçu pour se propager à
d’autres ordinateurs en s’insérant dans des programmes légitimes appelés « hôtes ». Il peut
perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté.
- Les vers : Un ver, contrairement à un virus informatique, n’a pas besoin d’un programme
hôte pour se reproduire. Il exploite les différentes ressources de l’ordinateur qui l’héberge
pour assurer sa reproduction et a habituellement un objectif malfaisant.
- Les chevaux de Troie : logiciel d’apparence légitime, conçu pour exécuter des actions à
l’insu de l’utilisateur.
Cet arsenal d’attaques représente une partie des menaces potentielles pour un système. Un
système doit donc nécessairement se prémunir contre ces différentes attaques.

28
CONCLUSION
Les techniques de protection contre les attaques directes et celles sur Internet permettent de
réaliser les bases de la sécurité : confidentialité, intégrité, authentification, disponibilité.
Mais malgré toutes ces techniques utilisées pour empêcher toutes ces attaques, un système
n’est jamais totalement sûr. Le cryptage a ses faiblesses : une clé de chiffrement pour chiffrer
des données peut être cassée.
Il est aussi important de maintenir son antivirus à jour pour pouvoir détecter les nouveaux,
ainsi que les systèmes de détection d’intrusion pour qu’ils tiennent compte des nouveaux
types d’attaque. Il faut aussi vérifier que le système est bien configuré avec des logiciels de
détection d’erreurs de configuration telle que ceux dont nous avons cité ci-dessus, avant que
des personnes malveillantes ne le fassent.
C’est pourquoi nous avons un Chapitre 3 intitulé « Cas pratique de l’évaluation de la
sécurité », pour une mise en évidence des qualités des systèmes d’exploitation que nous
utilisons quotidiennement, ainsi que de leurs mécanismes de fonctionnement et failles qu’ils
ont en commun ou individuellement.

29
CHAPITRE III : Cas
pratique de l’évaluation de
la sécurité

30
Introduction
Le système d'exploitation (SE, en anglais Operating System ou OS) est un ensemble de
programmes responsables de la liaison entre les ressources matérielles d'un ordinateur et les
applications de l'utilisateur (traitement de texte, jeu vidéo, …). Il fournit aux programmes
applicatifs des points d'entrée génériques pour les périphériques. Il existe plusieurs systèmes
d’exploitation, mais dans le cadre de notre étude, il est mieux de travailler avec les systèmes
d’exploitation les plus utilisés (Windows, Mac OS et Linux).
I. Questions et utilités de l’étude
Pourquoi les systèmes sont vulnérables ?
La sécurité est chère et difficile à acquérir car la majorité des organisations n’ont pas un
budget assez élevé pour effectuer un projet fixe. Les politiques et systèmes de sécurité
informatique sont complexes, et comme étant basée sur des jugements humains, la sécurité
informatique ne peut être sûre à 100% parfois même inefficace face aux différents problèmes
vu la permanente émergence de la technologie. Cependant, il n’existe pas de d’infrastructure
pour les clefs et autres éléments de cryptographie en plus du fait que certains états interdisent
de la cryptographie dans certains cas spécifiques (Exportation, par exemple), ce qui empêche
le cryptage systématique au niveau du système d’exploitation.
Pourquoi un système ne peut être sûr à 100% ?
Il est impossible de garantir la sécurité totale d’un système pour les raisons suivantes :
- Les bugs dans les programmes courants et les systèmes d’exploitation sont nombreux.
- La cryptographie a ses faiblesses : les mots de passe peuvent être cassés.
- Même un système fiable peut être attaqué par des personnes abusant de leurs droits
- Plus les mécanismes de sécurités sont stricts, moins ils sont efficaces
- On peut s’attaquer aux systèmes de sécurité eux même
Méthodes utilisées pour les attaques.
- La négligence interne des utilisateurs vis-à-vis des droits et des autorisations d’accès.
- Se faire passer pour un ingénieur pour obtenir des informations comme le mot de
passe.

31
- Plusieurs mots de passe sont vulnérables à une attaque systématique.
- Les clefs de cryptographie trop courtes peuvent être cassées.
- L’attaquant se met à l’écoute sur le réseau et obtiens des informations capitales.
- IP Spoofing : changer son adresse IP et se faire passer pour quelqu’un de confiance.
- Injecter du code dans la cible comme des virus ou un cheval de Troie.
- Exploitation des faiblesses du système d’exploitation, des protocoles ou des
applications (Logiciels…)
Outils des attaquants.
- Programmes et scriptes de tests de vulnérabilité et d’erreurs de configuration
- Injection de code afin d’obtenir l’accès à la machine de la victime (Cheval de Troie).
- Echange de techniques d’attaques par forums et publications.
- Utilisation massive de ressources pour détruire des clefs.
- Les attaquants ou encore appelé « Hackers » utilisent des outils pour se rendre
anonymes et invisible sur le réseau.
Objectifs de la sécurité informatique.
Le système d’information est généralement défini par l’ensemble des données et des
ressources matérielles et logicielles de l’entreprise permettant de les stocker ou de les faire
circuler. Le système d’information représente un patrimoine essentiel de l’entreprise, qu’il
convient de protéger. La sécurité informatique, d’une manière générale, consiste à assurer que
les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le
cadre prévu. Elle vise généralement cinq principaux objectifs que nous connaissons déjà
(l’intégrité, la confidentialité, la disponibilité, la non répudiation et l’authentification)
Nécessité d'une approche globale.
La sécurité d’un système informatique fait souvent l’objet de métaphores. En effet, on la
compare régulièrement à une chaîne en expliquant que le niveau de sécurité d’un système est
caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est
inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité
doit être abordée dans un contexte global et notamment prendre en compte les aspects
suivants :
La sensibilisation des utilisateurs aux problèmes de sécurité

32
 La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les
données de l'entreprise, les applications ou encore les systèmes d'exploitation.
 La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise,
réseaux d'accès, etc.
 La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles
sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail
des personnels, etc.
Pourquoi un firewall.
De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à
Internet, afin d'accéder à la manne d'information disponible sur le réseau des réseaux, et de
pouvoir communiquer avec l'extérieur. Cette ouverture vers l'extérieur est indispensable... et
dangereuse en même temps. Ouvrir l'entreprise vers le monde signifie aussi laisser place
ouverte aux étrangers pour essayer de pénétrer le réseau local de l'entreprise, et y accomplir
des actions douteuses, parfois gratuites, de destruction, vol d'informations confidentielles, ...
Les mobiles sont nombreux et dangereux. Pour parer à ces attaques, une architecture sécurisée
est nécessaire. Pour cela, le cœur d'une telle architecture est basé sur un firewall. Cet outil a
pour but de sécuriser au maximum le réseau local de l'entreprise, de détecter les tentatives
d'intrusion et d'y parer au mieux possible. Cela représente une sécurité supplémentaire rendant
le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre
l'accès interne vers l'extérieur. En effet, des employés peuvent s'adonner à des activités que
l'entreprise ne cautionne pas, le meilleur exemple étant le jeu en ligne. Elle plaçant un firewall
limitant ou interdisant l’accès à ces services, l’entreprise ou l’utilisateur personnel peut avoir
un contrôle sur les activités se déroulant dans son enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de l'entreprise. Il permet
d'analyser, de sécuriser et de gérer le trafic réseau, et ainsi d'utiliser le réseau de la façon pour
laquelle il a été prévu et sans l'encombrer avec des activités inutiles, et d'empêcher une
personne sans autorisation d'accéder à ce réseau de donnée.

33
II. Le système d’exploitation Windows
Le terme « Windows » qui signifie ‘’Fenêtres’’ en français, décrit collectivement chacune des
générations de Microsoft des produits de système d'exploitation. Ces produits sont
généralement catégorisés en plusieurs groupes ou plusieurs dérivées.
Figure 5: Logos Windows évolution
L'histoire de Windows date de septembre 1981, quand l'Évêque de Poursuite, un
informaticien, a conçu le premier modèle d'un dispositif électronique et d'un projet "le
Directeur d'Interface" a été commencé. Il a été annoncé en novembre 1983 avant le Macintosh
sous le nom " Windows", mais la première version de Windows appelé « Windows 1.0 » n'a
pas été sortie jusqu'à novembre 1985. Windows 1.0 devaient rivaliser avec le système
d'exploitation d'Apple, mais a réalisé peu de popularité car il n’était pas un système
d'exploitation complet; plutôt il étend MS-DOS. Le Shell de Windows 1.0 est un programme
connu comme le cadre MS-DOS. Les composants ont inclus la Calculatrice, le Calendrier, le

34
Fichier, le téléspectateur de Presse-papiers, l'Horloge, le Panneau de configuration, le Bloc-
notes, la Peinture, Reversi, le Terminal et Écrire. Windows 1.0 ne permettent pas de
chevaucher des fenêtres. Au lieu de cela toutes les fenêtres sont carrelées. Seulement des
boîtes de dialogue modales peuvent apparaître sur d'autres fenêtres.
La version majeure suivante de Windows, Windows XP, a été sortie le 25 octobre 2001.
L'introduction de Windows XP a eu pour but d'unifier les Windows consuméristes 9x la série
avec l'architecture présentée par le Windows NT, un changement que Microsoft promis
fournirait à la meilleure performance sur ses prédécesseurs DOS-based. Windows XP
présenterait aussi une interface utilisateur reconçue (incluant un Menu Démarrer mis à jour et
un Explorateur de Windows "axé sur tâche"), a rationalisé le multimédia et mettant en réseau
des fonctions, Internet Explorer 6, l'intégration avec les services de Passeport .NET.
Le support Courant pour Windows XP a fini le 14 avril 2009. Support Prolongé est fini depuis
le 8 avril 2014.
Le 22 juillet 2009, Windows 7 et le Windows Server 2008 R2 a été sorti comme RTM (la
sortie à la fabrication) tandis que l'ancien a été sorti au public 3 mois plus tard le 22 octobre
2009. Contrairement à son prédécesseur, Windows vista, qu'a présenté un grand nombre de
nouvelles fonctions, Windows 7 a été destiné pour être une mise à jour plus concentrée,
progressive à la ligne de Windows, avec le but d'être compatible avec des applications et le
matériel avec lequel Windows Vista était déjà compatible. Windows 7 a le support de multi-
contact, le programme Shell de Windows reconçue avec une barre de tâche mise à jour, un
système domestique de réseau appelé HomeGroup, et des améliorations de performance.
Windows 8, le successeur de Windows 7, ont été sorties généralement le 28 octobre 2012. Un
certain nombre de changements significatifs ont été faits sur des Windows 8, y compris
l'introduction d'une interface utilisateur basée autour de la langue de conception de Métro de
Microsoft avec des optimisations pour des dispositifs à base de contact comme des comprimés
et des PC tout-en-un.

35
Chronologie de Windows : Histogramme
Figure 6 : L'arbre généalogique des systèmes d’exploitation de chez Windows

36
1. Concept et mécanisme de sécurité
Les versions grand public de Windows ont été à l'origine conçues pour la facilité d'utilisation
sur un PC à utilisateur unique sans un rapport de réseau et n'ont pas fait encastrer de fonctions
de sécurité depuis le début. Cependant, le Windows NT et ses successeurs sont conçus pour la
sécurité (incluant sur un réseau) et des PC multipostes, mais n'ont pas été initialement conçus
avec la sécurité Internet en mémoire. Depuis, quand il a été d'abord développé au début des
années 1990, l'utilisation de l’internet était moins répandue.
Ces questions de design combinées avec la programmation d'erreurs (par exemple
l'amortisseur déborde) et la popularité de Windows, signifie que c'est une cible fréquente de
ver informatique et des auteurs viraux. En juin 2005, le Couvre-pieds de Bruce Schneier
Internet Security a rapporté qu'il avait vu plus de 1,000 nouveaux virus et des vers dans les six
mois précédents. En 2005, Kaspersky Laboratoire a trouvé autour de 11,000 virus de
programmes malveillants, Troyens, portes de derrière et exploits écrits pour Windows.
Microsoft sort des patches de sécurité par son service de Mise à jour de Windows
approximativement une fois par mois (d'habitude le deuxième mardi du mois), bien que des
mises à jour critiques soient rendues disponible aux intervalles plus courts quand nécessaire.
Dans les versions de Windows après et incluant Windows 2000 SP3 et Windows XP, les
mises à jour peuvent être automatiquement téléchargées et installées si l'utilisateur choisit
pour faire ainsi. En conséquence, le Service Pack 2 pour Windows XP, aussi bien que le
Service Pack 1 pour le Windows Server 2003, a été installé par des utilisateurs plus
rapidement que cela pourrait autrement avoir été.
Tandis que les Windows 9x la série a offert l'option d'avoir des profils pour des utilisateurs
multiples, ils n'avaient aucun concept de privilèges d'accès et n'ont pas permis l'accès
simultané; et n'étaient pas si de vrais systèmes multipostes d'exploitation. De plus, ils ont mis
en œuvre seulement la protection de mémoire partielle. Ils ont été en conséquence largement
critiqués en l'absence de la sécurité.
Quoique Windows XP ait vraiment des comptes limités, la majorité d'utilisateurs domestiques
n'a pas changé à une nature de compte avec moins de droits, partiellement en raison du
nombre des programmes qui ont inutilement exigé des droits d'administrateur. Et donc les
utilisateurs les plus domestiques ont fonctionné comme l'administrateur tout le temps.
Windows Vista se change en présentant un système d'élévation de privilège appelé le
Contrôle de Compte d'utilisateur. En connectant comme un utilisateur standard, une session
de connexion est créé et un signe contenant seulement les privilèges les plus de base sont

37
assignés. De cette façon, la nouvelle session de connexion est incapable de faire les
changements qui affecteraient le système entier. En connectant comme un utilisateur dans le
groupe d'Administrateurs, deux signes séparés sont assignés. Le premier signe contient tous
les privilèges typiquement attribués à un administrateur et le deuxième est un signe limité
semblable à ce qu'un utilisateur standard recevrait. Les applications d'utilisateur, y compris les
Windows Shell, sont alors commencées par le signe limité, aboutissant à un environnement de
privilège réduit même sous un compte d'Administrateur. Quand une application demande des
privilèges plus hauts ou "Exécuté comme l'administrateur" est cliqué, UAC incitera pour la
confirmation et, si on donne le consentement (incluant des références d'administrateur si le
compte demandant l'élévation est membre pas du groupe d'administrateurs), le début le
processus utilisant le signe sans restriction.
a. Permissions de fichier
Toutes les versions suivant du Windows NT 3 ont été basées sur un système de permission de
système de fichiers mentionné comme AGLP, Globaux(Mondiaux), Locaux, des Permissions)
AGDLP qu'en substance où les permissions de fichier(dossier) sont appliquées aux
fichiers/dossiers en forme de un groupe local qui a alors d'autre les groupes mondiaux comme
membres. Ces groupes mondiaux tiennent alors d'autres groupes ou des utilisateurs selon des
versions de Windows différentes utilisées. Ce système varie d'autres produits de vendeur
comme Linux et le Netware en raison de l'attribution statique de permission étant un
répertoire appliqué aux fichiers ou aux dossiers. Cependant l'utilisation de ce processus
d'AGLP/AGDLP/AGUDLP permet à un petit nombre de permissions statiques d'être
appliqués et tient compte de changements faciles aux groupes locaux sans s'adresser de
nouveau les permissions de fichier sur les fichiers et les dossiers.

38
b. Windows Defender
Le 6 janvier 2005, Microsoft a sorti une Version bêta d’Antispyware de Microsoft, basé sur le
Giant Antispyware précédemment sorti. Le 14 février 2006, l’Antispyware de Microsoft est
devenu Windows Defender avec la sortie de 2 Bêta. Windows Defender est un programme de
logiciel public conçu pour protéger contre les logiciels espions et d'autres logiciels
indésirables. Windows XP et Windows Server 2003, utilisateurs qui ont les copies véritables
de Microsoft Windows peuvent librement télécharger le programme du site Web de Microsoft
et Windows Defender expédie dans le cadre de Windows Vista et Windows 7. Dans Windows
8, Windows Defender et Microsoft Security Essentials ont été combinés dans un simple
programme, nommé Windows Defender. Il est basé sur Microsoft Security Essentials,
empruntant ses fonctions et interface utilisateur. Bien que l'on le permette par défaut, il peut
être éteint pour utiliser une autre solution antivirale. Windows Malicious Software Removal
Tool (Les fenêtres l'Outil de Déplacement Logiciel Malveillant) et Microsoft Safety Scanner
(le Scanner de Sécurité facultatif de Microsoft) sont deux autres produits de sécurité gratuits
offerts par Microsoft.
Figure 7: Aperçu de Windows Defender

39
c. Analyse tierce
Dans un article basé sur un rapport par Symantec, internetnews.com a décrit Microsoft
Windows comme une entreprise ayant "le moins de nombre de patches et de temps de
développement de patch moyen, le plus court des cinq systèmes d'exploitation qu'il a
contrôlés dans les six derniers mois de 2006."
Une étude conduite par Kevin Mitnick et la société de communications marketing Avantgarde
en 2004 ont trouvés qu'un système de Windows XP non protégé et non corrigé avec le Service
Pack 1 a duré seulement 4 minutes sur Internet avant qu'il ne soit compromis et un Windows
Server 2003 non protégé et aussi non corrigé a été compromis après sa connexion à Internet
pendant 8 heures. Cette étude ne s'applique pas aux systèmes de Windows XP exécutant le
Service Pack 2 mise à jour (sorti à la fin de 2004), qui a énormément amélioré la sécurité de
Windows XP. Un ordinateur qui exécutait le Service Pack 2 de Windows XP n'a pas été
compromis. AOL l'Alliance de Sécurité Cyber nationale d'Étude En ligne de Sécurité
d'octobre 2004 a décidé que 80 % d'utilisateurs de Windows ont été infectés par au moins un
spyware. Plusieurs documentations montrent comment augmenter la sécurité des produits de
Microsoft. Des suggestions typiques incluent Microsoft de déploiement derrière un matériel
ou un pare-feu logiciel, d'antivirus solide et de logiciel d'Antispywares et des patches
d'installation facilement disponibles par la Mise à jour de Windows.

40
2. Forces et faiblesses de Windows
a. Les forces de Windows
Windows nous offre de nombreux styles d’évolution au fil des années et c’est ce qui rend la
marque Microsoft prestigieuse. Tout dernièrement, il nous présente un nouveau style de
système qui est qualifié de multiplateforme avec le Windows 8. Microsoft offre donc un
écosystème bien intégré, tout particulièrement entre les ordinateurs, les téléphones portables
et les tablettes électroniques.
Pour une application Windows 8 achetée sur votre tablette fonctionne également sur votre
ordinateur. Par ailleurs, tous les appareils qui utilisent un système d’exploitation de Microsoft
(ordinateurs, tablettes, téléphones Windows Phone 8, Xbox) présentent une interface unifiée.
Si l’intégration avec les téléphones Windows Phone 8 demande encore à être peaufinée, celle
entre les ordinateurs et les tablettes est franchement réussie. Elle s’avère même supérieure à
celles d’Apple et de Google. Par exemple, les interfaces d’un ordinateur et d’une tablette
Windows sont exactement les mêmes.
Nous pouvons aussi noté que Windows, dans son élan contre ces concurrents, a établi une
nouvelle sécurité sur les machines délivrées avec le Windows 8 consistant à empêcher
l'installation de système d’exploitation alternatif tout en réduisant la durée de validité d’un
logiciel de dernière génération qui a été cracker sur la machine.
b. Les faiblesses de Windows
Comme nous le savons, la science de l’informatique étant toujours en évolution, il y a
toujours des faiblesses et des failles à dénoncer. Et l’une des plus grandes faiblesses de
Windows est d’être le système d’exploitation le plus mis à l’épreuve du monde. Ainsi, pour
chacun de ses systèmes d’exploitation, ils y a des failles qui sont découvertes et révélées au
publique, et cela malgré c’est nombreuses mises à jours presque mensuelles et le travail
acharné de ses chercheur pour rendre le niveau de sécurité très élevé avec des logiciels
infranchissables. Ces facteurs rendent ainsi l’image de Windows incertaines sur le plan
sécurité bien qu’il apporte toujours des innovations graphiques, matériels et logiciels avec de
courts intervalles de temps.

41
III. Le système d’exploitation Mac OS
Mac OS (pour Macintosh Operating System) est le nom du système d'exploitation d'Apple
pour ses ordinateurs Macintosh. Il est surtout connu pour être un des premiers systèmes grand
public ayant une interface graphique, inspiré de Xerox Alto, et basée sur les fenêtres, icônes,
menus et souris (modèle WIMP).
Le Mac OS est une série d'utilisateur graphique des systèmes à base d'interface d'exploitation
développés par Apple Inc. pour leur ligne de Macintosh de systèmes informatiques. La
version originale était le logiciel de système intégral et anonyme d'abord présenté en 1984
avec l'original le Macintosh et a mentionné simplement comme le logiciel "System". Le
logiciel du système de Macintosh a gagné un nom officiel en 1996, quand Apple marque la
version 7.6 comme le Mac OS dans le cadre de leur Macintosh multiplie le programme. Le
Macintosh, spécifiquement son logiciel de système, est crédité avec la popularisation du
concept d'interface utilisateur graphique.
Le Macintosh Operating System a été sorti dans deux séries majeures. Jusqu'à la révision
majeure 9, de 1984 à 2000, on le connaît historiquement comme le Mac Classique OS. La
révision majeure 10, de 2001 pour présenter, est le Mac de marque OS X (maintenant
seulement mentionnée comme OS X). Des révisions majeures du Macintosh OS sont
maintenant publiées comme les révisions de pointe, c'est-à-dire 10.2 considérablement
diffèrent du 10.5. Tant la série partage un design d'interface général, que quelques cadres
partagés d'application pour la compatibilité, mais a aussi des architectures profondément
différentes.
Figure 8: Logos Mac OS évolution

42
Le concept original d'Apple pour le Macintosh de délibérément cherché à minimiser la
conscience conceptuelle de l'utilisateur du système d'exploitation. Les tâches qui ont exigé la
connaissance de système plus d'exploitation sur d'autres systèmes seraient accomplies par des
gestes de souris et des contrôles graphiques sur un Macintosh. Ceci le différencierait de
systèmes alors actuels, comme le MS-DOS, qui a utilisé une interface de ligne de commande
consistant de commandes textuelles laconiquement abrégées.
Le cœur du logiciel de système a été tenu dans ROM, avec des mises à jour à l'origine
fournies sur la disquette ou le CD, librement copiable aux négociants de d'Apple. La
participation de l'utilisateur dans une mise à jour du système d'exploitation a été aussi
minimisée à la direction d'un installateur, ou le remplacement de fichiers de système utilisant
le gestionnaire de fichiers. Cette simplicité a signifié que les libérations anticipées ont manqué
de n'importe quels contrôles d'accès, en réalité donnant ses privilèges de racine d'utilisateur
simples à tout moment. Contrairement à ses prédécesseurs, Mac OS X fait partie de la famille
des systèmes d'exploitation UNIX, fondé sur les technologies développées par NeXT depuis
le milieu des années 1980 jusqu'au rachat de la société par Apple en 1997.
Ce qui met Mac OS X à l'abri des menaces Windows pour une simple et bonne raison
d'architecture. Mac OS est actuellement à l'abri d'attaque à grande échelle, mais peut être
victime de trojans ou de sites illégitimes qui tirent profit de la naïveté des utilisateurs (la
fameuse « interface chaise clavier »).
Le système propose également plusieurs défenses contre les codes malveillants. La première
est l'exécution d'applications dans un bac à sable (sandboxing), ce qui permet de limiter leur
accès à certaines données. Snow Leopard utilise cette technique pour la plupart des processus
ayant recours à l'accès réseau, ainsi qu'à certaines applications ou codecs susceptibles de
communiquer avec des fichiers aux sources potentiellement dangereuses. C'est notamment le
cas de QuickLook, la visionneuse rapide de fichiers, et notamment de PDF, ou du codec H264
utilisé par QuickTime.

43
Figure 9: Aperçu de la procédure de défense du Mac OS
2. Forces et faiblesses de Mac OS
a. Les Forces de Mac OS
- Sa capacité d’innovation arrive en première position, puisque c’est le principal levier
d’Apple depuis ces dernières années. Son succès démesuré est en grande partie dû à sa
capacité de constamment innover, de constamment développer de nouveau besoins pour le
consommateur. Chaque mise à jour du produit est le fruit de puissants investissements en
Recherche & Développement.
- La seconde force que l’on peut développer est sans nul doute la très forte image du système
Mac OS. En effet, la « culture Apple » atteint des sommets depuis ces dernières années,
donnant l’image d’une marque en constante évolution avec son temps de par sa
communication sans précédent dans le monde du multimédia.

44
b. Les Faiblesses de Mac OS
- Le prix requis pour l’utilisation d’un des Mac OS est élevés et cela forment une faiblesse
récurrente chez Apple qui profite de marges très fortes et explique ses prix par la qualité de
ses produits, le constant renouvellement de ses gammes et de ses logiciels,
- L’écosystème du système d’exploitation Mac Os est limité, laissant peu de place à la «
customisation » de ses paramètres. On ne peut l’installer que sur les ordinateurs de chez
Apple, pas sur d’autre a moins d’être installé sur une machine virtuelle.
IV. Le système d’exploitation Linux
Linux est le nom couramment donné à tout système d'exploitation libre fonctionnant avec le
noyau Linux. C'est une implémentation libre du système UNIX respectant les spécifications
POSIX. Ce système est né de la rencontre entre le mouvement du logiciel libre et le modèle
de développement collaboratif et décentralisé via Internet. Son nom vient du créateur du
noyau Linux, Linus Torvalds.
Les systèmes basés sur Linux sont majoritaires pour les super-ordinateurs et les smartphones.
Sur les serveurs informatiques, le marché est partagé avec les autres Unix et Windows. Il est
largement utilisé comme système embarqué dans les appareils électroniques : télévision,
modem, GPS, etc. Il reste en revanche utilisé par 1 % des ordinateurs personnels de bureau, sa
plate-forme d'origine.
D'un point de vue purement technique, Linux est simplement une variante d'Unix. Ce qui fait
qu'il est unique est lié à des considérations non techniques.
Figure 10 : Logo de Linux

45
Un logiciel libre n’est pas nécessairement gratuit, et inversement un logiciel gratuit n’est pas
forcément libre. Ce ne sont pas non plus des logiciels libres de droits : c’est en vertu de leurs
droits d’auteurs que les contributeurs d’un logiciel libre accordent les quatre libertés, qui sont
d’utiliser le logiciel sans restriction, d’étudier le logiciel, de le modifier pour l’adapter à ses
besoins et de le redistribuer sous certaines conditions précises, leur non-respect pouvant
conduire à des condamnations.
Certaines licences sont fondées sur le principe du copyleft, c’est-à-dire sur le principe de
réciprocité : une œuvre dérivée d’un logiciel sous copyleft doit à son tour être libre. C’est le
cas de la licence libre la plus utilisée, notamment par le noyau Linux lui-même.
Le concept de Linux permet d'avoir un composant unique réalisant une action, utilisable en
ligne de commande et donc scriptable, et une ou plusieurs interfaces graphiques pour ce
composant. De plus, le modèle Linux permet de séparer clairement l'interface graphique du
traitement qu'elle permet de réaliser. La stabilité en est d'autant plus accrue.
Bon nombre d'applications pour XWindow sont libres, ou utilisables librement à des fins non
commerciales (dans ce cas, on a le droit de les utiliser tant que ce n'est pas pour réaliser un
travail qu'on revendra). On peut donc considérer qu'il est actuellement possible, avec Linux,
d'avoir un environnement logiciel complet, fiable et performant pour un prix de revient
minime.
Un système Linux est structuré de la manière suivante :
 le noyau Linux ;
 les programmes en ligne de commande et le shell ;
 le serveur XWindow ;
 le gestionnaire de fenêtres et le gestionnaire de bureau ;
 les applications XWindow.
La figure suivante vous présente comment ces différentes couches logicielles s'agencent les
unes par rapport aux autres.

46
Figure 11: Architecture des systèmes Linux
Cette architecture est, comme on peut le voir, très avantageuse :
 les systèmes Unix, donc Linux, sont très structurés, donc plus simples à utiliser, à
configurer, à maintenir et à développer ;
 ils sont très stables, car les composants de haut niveau n'interfèrent pas sur les composants
de bas niveau ;
 ils sont faciles à personnaliser, puisque l'utilisateur a le choix des outils à chaque niveau ;
 Linux a de plus la particularité d'être parfaitement modifiable, puisque si l'on sait
programmer, on peut personnaliser les composants du système ou en rajouter à tous les
niveaux ;
 et il n'est pas propriétaire, c'est-à-dire que l'on n'est pas dépendant d'un éditeur de logiciel
pour résoudre un problème donné.
À l'heure où la sécurité devient un enjeu majeur en raison de l'importance des menaces virales
et autres attaques contre les systèmes informatiques et leurs utilisateurs, les systèmes Unix
tels que Linux, bien que de conception très ancienne, apparaissent comme avant-gardistes et
parfaitement en phase avec le marché.
La sécurité est à présent considérée comme une fonctionnalité essentielle du système
d'exploitation, et devient de plus en plus incontournable.
Les systèmes Linux, depuis leurs origines, ont toujours pris en compte les problèmes de
sécurité. En particulier, les développeurs d'application Unix ont toujours fait attention à ce
que leurs logiciels se comportent relativement bien en termes de sécurité. En pratique, bien
que la sécurité des programmes soit loin d'être parfaite, surtout pour les plus anciens, des
principes de base ont toujours été respectés, ce qui fait que les applications Unix ne font pas,
en règle générale, n'importe quoi avec le système.

47
Ainsi, il est beaucoup plus faciles de faire fonctionner une application Unix dans un contexte
de sécurité restreint qu'une application Windows, car les développeurs de ces dernières ont
longtemps été habitués à une très grande liberté et ont donc réalisé des applications qui ne
peuvent pas être utilisées si elles n'ont pas les pleins pouvoirs. Les applications Unix qui se
comportent mal sont donc très rares, ce qui fait que les systèmes Linux peuvent faire peu de
cas d'elles et n'ont pas à maintenir une compatibilité ascendante avec elles. Les systèmes
Linux ont donc un modèle de sécurité beaucoup plus simple et strict, et n'ont pas à
s'embarasser avec des techniques complexes et des circonvolutions insensées telles que la
virtualisation de l'ensemble du système pour les applications afin d'assurer un semblant de
sécurité tout en permettant la compatibilité ascendante.
Par ailleurs, la sécurité permet de protéger non seulement le système, mais aussi l'utilisateur
de ses propres erreurs. En effet, le système est capable de se protéger contre les fausses
manipulations de l'utilisateur. Cela peut être extrêmement utile avec les débutants, puisqu'ils
peuvent expérimenter à loisir tout en étant sûrs qu'ils ne feront pas de bêtise irrémédiable.
Ainsi, ils seront plus sereins et n'auront pas « peur de faire une bêtise ». Mais cela est très
utile même pour les utilisateurs chevronnés, car tout le monde peut effectivement faire une
erreur.
La sécurité permet également de protéger les données de chaque utilisateur vis à vis des
autres. En effet, par défaut, les données d'un utilisateur ne peuvent pas être modifiées par un
autre utilisateur. Vous n'aurez donc aucune crainte qu’un individu puisse effacer ou détruire
par mégarde votre correspondance professionnelle ou l'ensemble de vos données.
Enfin, ayant été prise en compte dès le départ, la sécurité sait se rendre très discrète sur les
systèmes Linux, et bien que parfaitement fonctionnelle, elle n'ennuie pas l'utilisateur et reste
facilement configurable. Ces deux aspects sont fondamentaux, car du coup, l'utilisateur n'a
pas la tentation - ni le besoin - de tout désactiver pour faire fonctionner ses applications.
En résumé, la sécurité sous Linux, c'est :
 une fonctionnalité à part entière, qui est parfaitement intégrée dans le système ;
 un moyen de se protéger contre ses propres erreurs ainsi que celles des autres
utilisateurs ;
 une facilité d'utilisation et une transparence qui la rendent utilisable en pratique sans
perturber le travail de l'utilisateur.

48
2. Forces et faiblesses
a. Les Forces de Linux
Le système d’exploitation Linux a de nombreuses particularités, qui constituent une force
majeure pour lui. Pour commencer à énumérer ces forces, nous pouvons énoncer l’ouverture
du code source, l’un des quatre critères correspondant à la notion de logiciel libre, comme la
correction rapide des bugs, et notamment la correction des failles de sécurité. C’est le refus du
principe de sécurité par l’obscurité. Linux est souvent promu par son aspect « gratuit », bien
que dans la pratique, aucune organisation n'installe le logiciel sans assistance technique. Que
cette assistance soit assurée par des constructeurs réputés ou par le premier détaillant venu, il
est très probable que Linux sera utilisé par beaucoup d'entreprises avec ce type garantie. Il
faut préciser, Linux ne sera jamais une solution totalement gratuite. Cependant, pour peu
qu'une organisation prenne en compte le coût des licences, particulièrement dans le cas
d'utilisateurs et d'ordinateurs multiples, elle pourrait être agréablement surprise en découvrant
que Linux dégage malgré tout une économie substantielle.
Autre avantage souvent avancé pour Linux est que les utilisateurs peuvent facilement
modifier le logiciel pour qu'il satisfasse à leurs exigences. Il y a deux raisons à cela. La
première est que si la grande majorité des logiciels commerciaux sont uniquement distribués
sous forme binaire, le code source de Linux est lui disponible, ce qui rend matériellement
possible toute modification et recompilation. La seconde est que la Licence Générale Publique
GNU permet expressément à n'importe qui de modifier et de redistribuer le logiciel de façon
tout à fait légale.
On prétexte souvent que la raison pour laquelle Linux plante rarement tient au fait que l'on
exige de lui beaucoup moins que ce que l'on exige d'autres systèmes d'exploitation
b. Les Faiblesses de Linux
Linux n'est certainement pas un système d'exploitation parfait, et tout le monde a pu entendre
parler des faiblesses qui lui ont été un jour ou l'autre reprochées. Etant donné que personne ne
choisit les systèmes d'exploitation pour leur intérêt intrinsèque. Ce sont les applications qu'ils
permettent d'utiliser qui retiennent l'intérêt, mais Linux n’offre pas autant de choix
d’application par rapport à ses concurrents. Linux est un système d'exploitation relativement

49
nouveau développé en grande partie par des programmeurs volontaires. Ces développeurs
n'ont qu'un accès limité aux matériels évolués, donc onéreux (bien que beaucoup de
constructeurs les mettent maintenant fréquemment à leur disposition). Ainsi Linux n'a pas à
son actif aujourd'hui assez d’heure de programmation sur le matériel dernier cri. En
conséquence, il se positionne comme un système d'exploitation destiné à des gammes
moyennes ou basses, des catégories où ses performances sont très bonnes.
Beaucoup d'utilisateurs s'inquiètent de la pérennité de Linux. Ils craignent qu'en cas d'inflation
des masses à traiter, ils soient contraints de changer leur matériel et par là même d'abandonner
Linux. De plus lorsqu'une entreprise choisit un logiciel, elle doit être certaine que quelqu'un
peut être tenu pour responsable en cas de problème, et qui, dans le pire des cas, peut être
poursuivi pour une éventuelle perte liée à l'utilisation du logiciel.
Linux, comme tout autre logiciel libre, ne fournit absolument aucune garantie de ce type.
Vous ne pouvez pas poursuivre Linus Torvalds, ni Red Hat, ni Compaq si votre serveur Linux
en production a d'une façon ou d'une autre perdu toute raison et a du même coup détruit vos
précieuses données. A notre liste de faiblesses, nous pouvons aussi ajouter que Linux se
développe sur le media anarchique qu'est l'Internet, et il n'existe aucune entreprise solide qui
puisse fournir les futurs axes de développement des années à venir ce qui atteint l’image de la
marque du système d’exploitation.
CONCLUSION
Ce chapitre avait pour objet de montrer comment certains des mécanismes proposés par les
différents systèmes d’exploitation utilisés par les entreprises et les utilisateurs personnels
possédaient des faiblesses intrinsèques en termes de sécurité. Ces faiblesses ne se situent pas
dans l’implémentation des composants en tant que tels, mais dans leur spécifications. Il est
donc potentiellement possible pour un éventuel attaquant en éffectuant des opérations
atomiques légitimes, documentées et conformes aux spécifications de réaliser une action
contraire aux spécifications ou plus généralement non conformes au comportement attendu
des composants. Ceci est particulièrement inquiétant dans la mesure où les systèmes
d’exploitation reposent sur les spécifications des composants matériels pour élaborer et faire
respecter leur politique de sécurité. Aussi, la capacité d’un système d’exploitation à
cloisonner l’espace utilisateur de l’espace noyau ne reste vraie que dès lors que le modèle de
cloisonnement mémoire proposé par le processeur qui repose sur les mécanismes propres aux
modes protégés.

50
CHAPITRE IV :
Enquête de sécurité
informatique

51
Introduction
Pour obtenir des réponses, rien n’est plus naturel que de poser des questions. L’enquête par
questionnaires est, à ce titre, un moyen pratique pour collecter rapidement des informations et
un outil efficace d’aide à la décision. Même s’il n’y a pas de recette miracle pour réaliser une
bonne enquête et obtenir à tous les coups des résultats pertinents, il existe des règles
incontournables à respecter à chaque étape.
Les 10 commandements pour une enquête de qualité :
- Etablir par écrit des objectifs clairs, précis et opérationnels à l’enquête puis les faire
valider par les personnes concernées,
- Identifier précisément la cible de l’enquête (population-mère) et choisir un échantillon
représentatif,
- Choisir un nombre restreint de quotas et avoir recours à des quotas simples plutôt
qu’à des quotas croisés,
- Concentrer les questions posées sur le seul objectif de l’enquête et ne pas ajouter des
questions inutiles, même si elles sont intéressantes par ailleurs,
- Organiser le questionnaire en parties claires en partant du général au particulier et des
questions neutres aux questions engageantes,
- Ne pas multiplier les questions ouvertes qui apportent beaucoup moins d’informations
que des questions fermées bien posées,
- Utiliser un langage clair, simple et compréhensible par tous,
- Soigner la présentation du questionnaire et indiquer clairement les consignes et les
informations nécessaires aux enquêteurs et/ou répondants
- Insister auprès de tous les intervenants en général et des enquêteurs et du personnel de
saisie en particulier sur la nécessité d’une grande rigueur,
- Etre prudent dans l’interprétation et la restitution des résultats en étant bien conscient
des marges d’erreur.

52
I. Le questionnaire
1. Définition
Les questionnaires sont un des outils de recherche pour les sciences humaines et sociales, en
particulier la psychologie, la sociologie, le marketing, l’informatique et la géographie. C’est
précisément la raison pour laquelle nous l’avons utilisée pour notre projet de fin d’étude.
Les étapes de confections des questionnaires sont divisées en sept parties. En premier lieu,
nous avons la détermination du problème à l’étude et du sujet traité. En second, la
construction de la banque d'item. Troisièmement, la construction de l'échelle de réponse du
questionnaire. Quatrièmement, l’évaluation du bassin initial d'items. En cinquième position,
nous avons l’étape de l’élaboration du mode de présentation du questionnaire. Sixièmement, il
y a la création d'un échantillon pour tester la version pilote de l'instrument. Et en septième
position, on compte l’étape de l’analyse d'item.
Après l’étape de confection du questionnaire, nous avons une partie essentielle qui est la
traduction du questionnaire qui consiste à déterminer la clarté des consignes et des items
traduits, classé les informations recueillit par groupe ou par ensemble de réponses.
2. Présentation du questionnaire
Les questionnaires sont des outils d'évaluation proches des tests. Alors que ces derniers visent
à mettre en évidence des aptitudes, les questionnaires s'étendent à une utilisation plus générale
qui comprend notamment l'évaluation des attitudes et des habitudes quotidiennes d’un ou
plusieurs individus. Dans le cadre de notre projet de fin d’étude nous avons utilisé GOOGLE
DRIVE pour la confection de notre questionnaire.
Voir l’annexe… (Figure 17)

La sécurité informatique

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a La sécurité informatique

Similar a La sécurité informatique (20)

La sécurité informatique