Indexel

Ports d'entrées/sorties : les PC désormais sous contrôle

Par Thierry Lévy-Abégnoli le 21/06/2006 - indexel.net
 

Les PC représentent le maillon faible de la sécurité. Aujourd'hui protégés des virus et autres attaques, ils restent vulnérables au niveau de leurs ports d'entrées/sorties, qu'une nouvelle génération d'outils permet de contrôler.

 

1. Pourquoi faut-il contrôler les ports ?

"Alors que les serveurs et les réseaux sont bien protégés, le service informatique a très peu de visibilité sur les clés USB et autres lecteurs MP3 connectés aux PC et vers lesquels il est possible de transférer n'importe quel type de données", affirme Frédéric Cluzeau, directeur technique d'Hermitage Solutions. Et à l'inverse, des codes malicieux peuvent être introduits par ce biais, comme avant l'ère internet via des disquettes. Avec la prolifération des supports de stockage amovibles affichant des capacités pratiquement illimitées, les ports d'entrées/sorties sont ainsi devenus de véritables failles de sécurité matérielles. L'USB est évidemment la première interface concernée. Mais certains disques durs externes peuvent aussi se connecter aux ports Firewire, tandis que les téléphones et autres PDA savent échanger des données par les interfaces infrarouges ou Bluetooth. Cette dernière peut sembler anecdotique puisque les flux sont chiffrés et l'utilisateur doit entrer la même clé de chiffrement sur le PC et le périphérique. Mais c'est oublier que la menace vient souvent d'employés indélicats.

Enfin, les ports PCMCIA et les graveurs sont des sources potentielles de fuites d'informations. Les systèmes de stockage ne constituent en outre pas la seule source de danger. "Les entreprises ont fait beaucoup d'efforts pour supprimer les modems 56K directement reliés aux PC mais il est désormais possible de connecter, sur les ports USB, des interfaces de communication telles que bornes Wi-Fi ou modems 3G", ajoute Luc Delpha (photo), directeur de l'activité conseil chez Cyber Networks.

2. Comment les contrôler ?

Il s'agit d'abord de réaliser un audit du parc grâce à des outils comme Safend Auditor ou une fonction incluse dans DeviceLock. On peut ainsi voir, sur une console, tous les périphériques connectés aux PC. Il s'agit ensuite, via des outils comme Safend Protector, DeviceLock ou StormShield Device Control System (voir tableau), de définir et appliquer une politique de sécurité. On pourra par exemple interdire l'usage de tous les périphériques de stockage mais autoriser les imprimantes et les scanners. On pourra aussi autoriser uniquement les clés USB d'une marque donnée, voire certaines clés, qu'il est possible d'identifier individuellement.

"Mis à part quelques producteurs de clés ou de disques durs génériques, tous les périphériques ont désormais un identifiant unique", affirme Frédéric Cluzeau (photo). De même, on autorisera la lecture des CD et des DVD mais pas la gravure. Toutefois, quand le parc compte des centaines de PC, il est difficile d'exploiter pleinement toutes les subtilités de ces outils dédiés au contrôle des ports. En pratique, on ne réservera leurs fonctions les plus avancées qu'à une partie des utilisateurs. "Sur la grande majorité du parc, on se contentera d'appliquer une politique globale et sur certain postes très critiques ou au contraire peu sensibles, on adoptera une approche spécifique", explique Luc Delpha.

3. Chiffrer les données au lieu de contrôler les ports

Une approche différente consiste à laisser ouverts les ports d'entrées/sorties mais à chiffrer systématiquement les données qui sont transférées sur les supports de stockage amovibles. Les spécialistes du chiffrement proposent de tels outils tandis que certains éditeurs comme SafeBoot et SecureWave cumulent cette fonction avec le contrôle des ports.

4. Vers une intégration avec les autres fonctions de sécurité

"Le contrôle des ports d'entrées/sorties est une fonction de sécurité parmi d'autres visant à protéger le poste de travail", affirme Jean-Baptiste Dézard (photo), directeur marketing de Skyrecon Systems. C'est ainsi que les outils de Promisec, Skyrecon Systems ou McAfee s'insèrent dans des gammes plus vastes ou comportent d'autres fonctions, comme le contrôle des applications autorisées ou la lutte contre les codes malicieux inconnus. A l'inverse, des outils bien plus généralistes comme Critical System Protection de Symantec et ePolicy Orchestrator de McAfee, commencent à intégrer une gestion, encore frustre, des ports USB.

Quelques outils permettant de contrôler les ports d'entrées/sorties

Editeur
Produit
Ports contrôlés
Description
Safend (distribué par Hermitage Solutions)
Safend Auditor et Safend Protector
USB, PCMCIA, Firewire, Bluetooth, graveur. Audit et contrôle des ports et du graveur.
SecureWave
Sanctuary Device Control
USB, Firewire, Bluetooth, graveur. Audit et contrôle des ports et du graveur, chiffrement des données sur les périphériques externes.
Skyrecon Systems
StormShield Device Control System
USB, Firewire, Bluetooth, Wi-Fi (chiffrement imposé) et graveur. Audit et contrôle des ports. S'insère dans une gamme plus vaste d'outils de sécurité.
Smartline (distribué par Copernet) DeviceLock USB, PCMCIA, Firewire, infrarouge, Bluetooth. Audit et contrôle des ports et du graveur.
SafeBoot SafeBoot Port Control et SafeBoot Device Encryption USB, PCMCIA, Firewire, infrarouge, Bluetooth. Audit et contrôle des ports, chiffrement des données sur les périphériques externes.
Promisec Spectator Professional USB, Wi-Fi (chiffrement imposé) et graveur Contrôles des ports, du graveur et des applications autorisées. Alerte en cas de tentative de violation des droits.