Table des matières


Sécurité

Ubuntu est un système relativement sûr1), mais cela ne doit pas vous empêcher d'être vigilant et de suivre quelques recommandations. Voici comment protéger efficacement vos données personnelles.

Pourquoi sécuriser votre système ?

Parce que vos informations personnelles sont enregistrées à l'intérieur, sans sécurisation il est facile d'accéder à toutes vos données à distance et encore plus facilement physiquement.

Pour les particuliers

Pour le particulier, l'enjeu est plutôt la tranquillité et la stabilité du système. Cela signifie un pare-feu convenablement configuré (voir ci-dessous), afin d'éviter les intrusions malveillantes, et éventuellement un disque dur chiffré, afin d'éviter le vol d'informations et de protéger les données personnelles en cas de vol de la machine.

Pour les entreprises

On ne le répétera jamais assez, surtout aux PME/PMI : la sécurité est un enjeu majeur d'une politique économique ! L'époque du capitalisme à la bonne franquette est révolue, nous sommes entrés dans l'ère d'un capitalisme sauvage, où tous les coups sont permis pour semer et/ou abattre la concurrence. Et, avec le développement des moyens de communication numériques dans l'entreprise, un nombre colossal d'informations, y compris vitales, deviennent accessibles par le réseau. Ainsi voit-on se développer les « Officines d'intelligence économique », i.e. des boîtes d'espionnage, pour parler sans euphémismes, tenues par des anciens de la DGSE ou de la PJ, et avec elles les intrusions dans les réseaux, les vols de matériel… Quand le cracker travaille pour EDF, ça la met mal !

À ce propos, la DCRI organise régulièrement des stages de sensibilisation à la sécurité informatique, avec des difficultés certaines, étant donné l'ignorance totale des utilisateurs à l'égard de cette menace.

La sécurité dans les entreprises passe donc :

Pour aller plus loin :

Notions avancées

La sécurité en informatique est un terme très large. Voici quelques liens particulièrement intéressants :

Ces articles sont assez complets et permettent d'entrevoir les problématiques liées à la sécurité informatique. Entre autres notions de base expliquées dans les liens ci-dessus, voici les points les plus importants :

Se protéger des attaques distantes

Quelques points si votre ordinateur est connecté à Internet ou à un réseau.

Mettre à jour ses routeurs

Les virus sont aussi sur vos routeurs et BOX ADSL :

Solutions à ce jour :

  1. rebooter le routeur pour remettre la configuration à zéro
  2. ou installer un firmware libre dont vous pourrez surveiller l'activité et que vous pourrez mettre à jour. C'est d'ailleurs le seul moyen, car vous n'avez pas la possibilité de voir l'activité avec les firmwares fournis par défaut (qui sont, comme beaucoup de choses propriétaires, non mis à jour pour la sécurité).

Mettre Ubuntu à jour régulièrement

Mettez votre système régulièrement à jour afin de profiter des derniers correctifs de sécurité. Par défaut, Ubuntu recherche les mises à jour tout seul, mais si vous souhaitez vérifier manuellement cliquez ici.

Utiliser un pare-feu (Firewall)

Voir la page concernant les Pare-feu.

Voici une liste non exhaustive des principaux outils pour filtrer les connexions réseaux :

Pour votre navigateur Firefox vous pouvez ajouter le module Noscript : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque). Détecte et empêche le crossitescripting, et améliore la sécurité des greffons flash, java (attention ce sont des greffons propriétaires)…

Éviter la session super-utilisateur en mode graphique

Un programme n'est pas à l'abri de failles de sécurité. Si une faille est présente, et que le programme est lancé en tant qu'utilisateur normal, dans le pire des cas, ce seront vos données personnelles qui seront endommagées. Par contre, si le programme est lancé en tant que super-utilisateur, une faille pourrait éventuellement permettre d'effectuer toutes les actions permises aux super-utilisateur (suppressions de fichiers systèmes, installation de programmes…).

Un autre risque est celui d'une erreur humaine. Par exemple, si vous lancez Nautilus en super-utilisateur, vous pouvez supprimer des fichiers systèmes, modifier n'importe quel fichier…

Ainsi, il est recommandé d'éviter de lancer les programmes graphiques en tant que super-utilisateur, quand cela peut être évité. À plus large échelle, il est fortement recommandé de ne jamais démarrer un environnement de bureau (gnome, kde…) en tant que super-utilisateur.

Désactiver le "Bureau à distance"

Le “Bureau à distance” est une fonctionnalité permettant de contrôler graphiquement votre ordinateur de l'extérieur. Avoir cette fonctionnalité activée peut être dangereux, surtout si le mot de passe utilisé n'est pas suffisamment efficace. Un utilisateur malicieux pourrait alors prendre le contrôle de votre ordinateur (avec les droits d'utilisateur normal), et accéder à vos fichiers… Ainsi, il est conseillé de le désactiver lorsqu'il ne vous est pas utile. Voir la page Bureau à distance.

Pour le désactiver, entrez la commande suivante dans un terminal :

gsettings set org.gnome.Vino enabled false

Vous pouvez mettre cette commande dans les programmes au démarrage, afin d'automatiser la dévalidation à la connexion.

Sécuriser sa connexion internet sans fil (wifi)

Voir la page wifi.

Sécuriser son réseau d'ordinateurs

Antivirus (pour éviter d'infecter des postes Windows)

Logiciels

Voir aussi la page Réseau.

Sécuriser son serveur

Voir le portail Serveur.

Isoler votre ordinateur via un réseau local ou une box ADSL

Explication: Sans cette méthode, votre ordinateur a une adresse IP qui est directement accessible depuis internet ce qui facilite amplement les attaques et vous rend vulnérable à celles les plus élaborées (notamment sous linux).

Cette méthode est simple et consiste à créer un réseau privé qui isole en partie (via des ports) vos ordinateurs par rapport à internet et pour l'appliquer, il s'appuie sur les box ADSL. En effet ces dernières comportent un mode routeur qui sépare en quelque sorte internet de votre propre réseau en vous attribuant des IP privées (192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8). En bref, toutes les requêtes provenant d'internet sont interceptées par votre box ADSL qui agit comme un tampon entre internet et vos ordinateurs. Il suffit ensuite d'autoriser la redirection (forward) de ports pour certains logiciels (p2p, bittorent, …) tel que aMule, bitTorrent ou Transmission.

Voir freebox pour savoir ouvrir des ports de connexions.

Limiter l'accès aux fichiers

Limiter les droits d'accès aux fichiers

Cette rubrique concerne les droits d'accès à vos données ou aux données de tiers.

Définitions:

Quelques outils :

Chiffrer (et non crypter !) ses données

Le chiffrement (la cryptographie) est une façon efficace de conserver et d'échanger des données sans que quiconque ne puisse les interpréter.

Chiffrer un disque

Voir ce chapitre

Chiffrer des dossiers

Chiffrer des fichiers

Détruire définitivement un fichier

Dans l'attente que les infos de cette section soient complétées par un autre contributeur, signalons un tutoriel court et didactique sur la série d'outils Secure-Delete, dont un des outils (sfill) permet notamment d'effacer réellement (en réécrivant par-dessus des données aléatoires en multiples passes) tout l'espace inutilisé du disque dur (c'est-à-dire notamment tous les fichiers et répertoires que l'utilisateur a déjà effacés “classiquement”).

Sauvegarder régulièrement ses fichiers

La sécurité de vos données passe aussi par leur sauvegarde, car vous n'êtes pas à l'abri de divers problèmes (suppression par erreur, mise à zéro,…)

Pour plus d'informations, consulter le portail sauvegarde.

Bien gérer ses mots de passe

Logiciels de gestion de mots de passe

Choisir de bons mots de passe

Ce tutoriel est valable pour tous les mots de passe que vous pouvez avoir: au démarrage d'Ubuntu mais aussi votre messagerie mail, certains logiciels et certains sites internet.

→ Déconseillé : Alice (nom) - Voiture (mot) - 12345 (combinaison “basique”) - 12091990 (date de naissance)

→ Déjà mieux : gHnvKKpm (variation majuscules/minuscules, mais il manque les chiffres et les symboles)

→ Conseillé : ?ce5ght67! (variation lettres/chiffres/symboles)

Astuce

→ « Lsldvdl'a. » : « Les sanglots longs des violons de l'automne. »

→ « L,jmscdbh. » : « Longtemps, je me suis couché de bonne heure. »

→ « Tlm,jmlà8h. » : « Tous les matins, je me lève à 8 heures. »

- Prenez votre prénom : Frédéric
- Supprimer les e : Frdric
- Ajouter des chiffres ( “c” est la 3ème lettre dans l'alphabet, puis 4 pour suivre ) : Frdri34
- Ajouter un caractère spécial ( le fµ pour forum Ubuntu ) : Frdri34fµ

Résultat : quelques années pour craquer ce mot de passe facile à mémoriser.

Le truc des « bases »

Pour mieux diversifier ses mots de passe et s'en souvenir facilement, on peut avoir recours à la technique des « bases ». Par principe, chacune de ces bases sera utilisée selon le contexte d'identification : une pour votre OS, une pour verrouiller le matériel (BIOS), une autre pour le web et comptes messageries instantanées ou non, un dernier pour allonger le tout ou l'utiliser en dépannage.

Le but et l'avantage étant de pouvoir ensuite cumuler les bases pour obtenir une super passe-phrase, donc plus de sécurité si nécessaire. La mémorisation de petites sections est d'autant plus facile qu'on les utilise indépendamment et couramment.

Pour être encore plus sûr, tout en étant facilement mémorisable, on ajoute des variables et des séparateurs : un séparateur sera inséré entre chaque base et sa variable s'il y en a. Ainsi vous avez des repères logiques et des contextes où appliquer ces mots de passe, fluctuants, mais bien structurés pour vous.

Par exemple :

Base 1 [moi] : 8-12 caractères. C'est votre mot de passe courant par exemple une citation ou un acronyme comme expliqué plus haut.

+ séparateur(s) (dièse, arobase, astérisque, virgule, parenthèse, point d'interrogation, etc.)

Base 2 [mon matos] : 4-6 caractères. C'est le mot de passe bref pour, par exemple, votre BIOS. Choisissez-le bien : on y va rarement tous les jours, à moins de verrouiller le poste. Dans ce cas, ce ne doit pas être le même…

+ séparateur

Base 3 [les tiers] : 6-8 caractères. Votre mot de passe web (plus variantes : voir plus bas).

+ séparateur

Base 4 [pré carré] : 6-10 caractères ou plus. Un mot de passe numérique, facile à retenir, mais avec l'insertion de séparateurs (exemple : date de naissance « 13:06:1924:8h », date historique « Marignan:1515 »). Cette base est uniquement destinée à allonger les trois autres en passe-phrases, mais ne doit jamais être utilisée seule sans variables.

Cas de la base 3 Méfiez vous des sites web qui, à la souscription, vous confirment par mail l'ouverture de votre compte et y indique votre mot de passe en clair. Il vaut mieux éviter d'utiliser toujours le même… ou mieux, d'en donner un simple genre 12345678 puis de changer cela ensuite.

Il est recommandé d'ajouter une sécurité supplémentaire à cette base 3 : par exemple des caractères extraits du nom de domaine du site (invariant). Un mot de passe sur un compte du forum.ubuntu-fr.org peut devenir monpasseweb%FURO. Ainsi les mots de passe sont faciles à mémoriser et toujours différents…

Pour le changement de mot de passe, on peut choisir de lire à l'envers monpasseweb%ORUF ou n'utiliser que les consonnes, etc.

En résumé

Évitez de changer plus d'une base à la fois ainsi que de modifier les séparateurs, ils sont structurants. Si vous avez un doute sur la confidentialité d'une base, ajoutez seulement le séparateur suivant et si vous voulez, la base suivante !

Bien entendu il faut personnaliser tout cela et que cela corresponde à votre logique. Gardez seulement le principe des bases, des séparateurs et des variantes. Le tout bien structuré et chaque partie mémorisée et contextualisée empêchera tout voyeur de faire comme dans les films : craquer votre login en vingt secondes avec le nom du chien.

Éviter les utilisateurs sans mot de passe

Risque: il est possible de supprimer tout mot de passe sur un compte utilisateur, en

Solution: ne pas supprimer le mot de passe sur un compte utilisateur.

Solution alternative: si vous avez un compte utilisateur sans mot de passe, attention à supprimer tout accès à distance à la machine pour limiter les risques d'intrusions, et empêcher tout intrus d'avoir un accès physique à la machine.

Se protéger des attaques locales (physiques)

Ces mesures sont bien sûr à adapter à votre besoin.

Limiter l'accès physique à l'ordinateur

Pour empêcher un intrus de vider la mémoire du BIOS (et donc la protection par mot de passe) en ouvrant l'unité centrale, puis booter sur un live-CD ou live-USB (ce qui lui confère un équivalent des droits root sur la machine), il faut :

Sécuriser le démarrage de l'ordinateur (BIOS)

Pour empêcher un intrus de changer l'ordre de boot pour démarrer sur un live-CD ou live-USB par exemple (ce qui lui confère un équivalent des droits root sur la machine), il suffit de mettre un mot de passe au BIOS. Pour cela, il faut trouver “Administrator password” ou “password” dans le menu du BIOS (l'interface change suivant les cartes-mères) et définir un mot de passe.

Remarque : Il faudra aussi empêcher les intrus d'ouvrir la machine car la majorité des cartes-mères sont équipées d'un petit cavalier, en général à coté de la pile du BIOS, qui permet de « remettre à zéro » tout ce qui a été paramétré au niveau du BIOS, y compris le mot de passe. Parfois, le simple fait de retirer la pile du BIOS pendant plusieurs secondes aboutit au même résultat.

Sécuriser le démarrage d'Ubuntu (GRUB)

1ère méthode

Risque:

Par défaut, le logiciel chargeur de système Grub inclut dans la liste des choix de système Ubuntu en Recovery mode. Sur un ordinateur isolé (= sur lequel la gestion d'accès est gérée localement et non pas par un serveur) il suffit de choisir cette option pour profiter des droits root sur la machine, sans avoir à montrer patte blanche (pas de nécessité de mot de passe pour accéder aux droits administrateurs) !

Solution: empêcher un intrus de démarrer votre ordinateur en mode recovery.

Pour cela, éditer le fichier « /boot/grub/menu.lst », au choix:

Mettre un mot de passe à GRUB pour les opérations de modification d'une entrée:

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
password --md5 "hash md5 de votre mot ou phrase de passe"

ou

password "votre mot de passe"

pour obtenir le hash md5 d'un mot de passe utilisez la commande :

grub-md5-crypt

Enlever la création automatique d'une entrée recovery

## altoption boot targets option 
## multiple altoptions lines are allowed
## e.g. altoptions=(extra menu suffix) extra boot options
##      altoptions=(recovery mode) single
# altoptions=

ou

faire que ces entrées soient protégées par mot de passe.

## should update-grub lock alternative automagic boot options
## e.g. lockalternative=true
##      lockalternative=false
# lockalternative=true

puis, mettre à jour GRUB :

sudo update-grub
2ème méthode

La deuxième méthode consiste à mettre un mot de passe au compte superutilisateur, veuillez pour cela vous référer à la section 2 de la page root.

Chiffrer un disque dur ou une partition

Sécuriser son Bluetooth

Voir la page Bluetooth.

Logiciel antivol

Si vous utilisez la connexion automatique, et que vous craignez de vous faire voler votre ordinateur, il peut être intéressant d'utiliser le logiciel Pombo qui vous aidera à récupérer votre ordinateur en cas de vol.

Voir aussi le logiciel Prey qui propose la même chose sans avoir a installer de serveur

Vidéo-surveillance / détecteur de mouvements

Voir Vidéo-surveillance.

Restreindre les actions des utilisateurs de votre machine

Restreindre les horaires de connexion

Préserver son anonymat sur internet

L'anonymat sur internet est un mythe. On peut seulement limiter les possibilités d'être identifié.

Chiffrer et authentifier ses conversations sur messagerie instantanée

Tester la sécurité de son système

Afin de boucler la boucle (feedback/système) vous pouvez tester la sécurité en place, ou que vous désirez mettre en place, et décider en conséquence.

Pour cela vous pouvez utiliser ces outils :

Liens

Liste des pages sur la sécurité

2010/04/02 15:13 Rémi Debay
2012/02/09 12:53 psychederic
2008/09/23 15:56 jose.e
2012/02/02 05:49  
2010/08/29 10:36 avelldiroll
2010/04/30 13:46 psychederic
2007/09/04 11:52  
2015/01/07 11:59 bcag2
2007/02/11 11:58 Metallica_POTTER
2010/06/01 19:30  
2007/06/18 19:16 guixx
2012/02/02 17:12 psychederic
2012/02/09 13:07 psychederic
2010/05/30 09:30 YannUbuntu
2007/12/10 14:52 polarman
2006/12/20 12:11 ostaquet
2010/05/12 19:07  
2006/12/21 17:19 Blackpegaz
2008/03/12 22:09 YoBoY
2007/01/03 12:54 ostaquet
2010/04/27 19:10  
2010/04/27 19:10  
2006/12/01 12:51 Olivier Staquet
2009/06/23 07:17 gilles
2011/07/17 22:24 olivier Ool
2010/07/20 21:26 psychederic
2007/04/18 09:44 ostaquet
2010/04/27 19:10  
2007/04/10 10:38 ostaquet
2012/07/03 21:03 Honeyshell
2010/04/27 19:10  
2008/03/13 19:53 YoBoY
2010/10/31 01:43 Alexandre Patenaude
2010/08/02 04:59 Alexandre Patenaude
2011/01/17 16:05 darkevolution
2010/04/27 19:10  
2010/04/27 19:10  
2010/11/23 14:31 herrleiche
2008/07/09 11:32 Elemmire
2010/05/19 13:42  
2009/12/23 13:23 psychederic
2006/12/29 10:14 ostaquet
2010/05/27 18:14  
2008/10/29 17:51 Cyrille Grosdemange
2009/05/08 00:19  
2007/01/14 21:01 roger64
2011/01/14 20:57 paglop
2012/04/14 08:45 nicolas
2012/02/25 22:55 nicolas
2010/04/30 15:16 psychederic
2010/09/06 04:43 YannUbuntu
2014/05/29 16:25 89paladins
2006/12/21 17:25 Blackpegaz
2007/03/02 13:38 thedamocles
2010/02/11 22:10 psychederic
2010/11/14 14:31 lo72
2008/06/26 18:12 polarman
2013/05/10 21:58 malabarth
2008/10/30 00:27 Cyrille Grosdemange
2015/01/31 19:53 hacktus0
2009/02/06 14:29 Ner0lph
2007/02/13 12:55 ostaquet
2010/04/12 09:18  
2011/11/27 17:53 HacKurx
2011/01/15 12:09 lildadou
2006/12/29 13:05 ostaquet
2011/07/09 17:30 olivier Ool
2009/02/24 16:03  
2010/04/27 08:36  
2006/12/30 22:33 Id2ndR
2008/11/13 17:08 ste
2011/04/03 18:40 psychederic
2006/12/01 12:36 Olivier Staquet
2010/05/07 13:55  
2008/03/18 08:50 YoBoY
2009/10/22 16:51 psychederic
2010/04/27 19:10  
2008/04/16 00:40  
2010/05/13 20:06  
2010/04/27 19:10  
2008/05/08 20:17 Ban
2009/11/10 22:36 psychederic
2008/05/11 12:21  
2010/04/27 19:10  
2009/08/06 16:40 pywy
2010/08/02 07:28 Gemnoc
2006/12/29 13:01 ostaquet
2007/10/14 21:43 sidney_v
2011/05/16 05:56 bricef77
2009/12/10 18:11 ubuntosaure
2010/04/27 19:10  
2009/09/10 19:50 Pykmir
2010/03/16 00:28 Sidoine PIERREL
2012/12/15 17:44  
2010/05/31 00:36  
2010/04/27 19:10  
2007/01/03 12:47 ostaquet
2014/05/27 22:22 grigouille
2010/04/27 19:10  
2010/02/23 17:42  
2010/02/17 18:45 Philippe
2011/04/18 11:41  
2010/11/23 14:58 herrleiche
2009/10/26 16:43 psychederic
2010/12/22 11:29 psychederic
2007/02/05 11:56 ostaquet
2006/12/12 14:40
2009/01/19 02:19  
2010/04/30 17:15 psychederic
2008/01/30 21:59 chdorb
2011/04/18 11:41  
2010/11/24 13:54 YannUbuntu
2007/03/15 12:53 ostaquet
2008/03/07 18:34 Ner0lph
2010/04/27 19:10  
2010/04/27 19:10  
2009/11/13 09:05 Philippe
2010/05/02 18:38  
2012/02/12 19:09  
2009/02/08 23:44 nesthib
2009/11/09 23:09 PITOISET
2007/09/13 13:15 loack
2007/01/03 12:39 ostaquet
2010/04/27 19:10  
2010/10/27 17:28 zarkxe
2011/04/11 02:43 livier
2013/03/01 11:40 Richard Edouard SAILLARD
2009/02/11 22:48 bigorno
2010/05/03 11:21 Rémi Debay
2010/04/27 19:10  
2009/04/02 15:59 jahwork
2010/04/27 19:10  
2010/04/27 19:10  
2007/07/13 11:32 placisfos
2007/01/03 13:02 ostaquet
2012/02/07 11:13 psychederic
2010/04/28 11:57  
2009/11/25 18:05 psychederic
2014/07/23 17:33 Roveri
2007/12/14 08:19 v0n
2012/02/25 18:46 nicolas
2010/04/27 19:10  
2007/03/13 15:34 thedamocles
2007/02/25 11:08 thedamocles
2007/01/20 06:10 AlexandreP
2010/01/20 14:16 psychederic
2006/12/22 14:48 Blackpegaz
2010/04/27 19:10  
2010/09/12 08:58 Gemnoc
2010/04/27 19:10  
2011/12/17 23:10  
2008/11/11 14:54 djoser
2007/03/22 11:45 milambert
2010/04/27 19:10  
2008/04/23 22:31 YoBoY
2010/10/31 02:42 Alexandre Patenaude
2010/04/27 19:10  
2006/12/21 17:40 Blackpegaz
2007/11/06 20:40 U-topic
2010/09/21 11:49 psychederic
2011/01/16 23:17 lildadou
2012/01/11 15:12  
2008/06/18 22:00  
2009/03/13 16:01  
2008/04/09 20:42  
2011/03/23 23:20 beuheurk
2008/11/12 18:44  

Contributeurs : Reneca.

1) notamment par rapport à Windows