Sécurité

Ubuntu est un système relativement sûr¹⁾, mais cela ne doit pas vous empêcher d'être vigilant et de suivre quelques recommandations.
Voici comment protéger efficacement vos données personnelles.

Parce que vos informations personnelles sont enregistrées à l'​intérieur de votre système,​ et sans sécurisation il serait facile d'​accéder à toutes vos données à distance et encore plus facilement physiquement.

C'est pourquoi il est nécessaire de définir une méthode de sécurité fiable .

Pour le particulier, l'enjeu est plutôt la tranquillité et la stabilité du système.

Cela signifie un pare-feu convenablement configuré (voir ci-dessous), afin d'éviter les intrusions malveillantes, et éventuellement un disque dur chiffré, afin d'éviter le vol d'informations et de protéger les données personnelles en cas de vol de la machine.

On ne le répétera jamais assez, surtout aux PME/PMI : la sécurité est un enjeu majeur d'une politique économique !

Nous sommes entrés dans l'ère d'un capitalisme sauvage, où tous les coups sont permis pour semer et/ou abattre la concurrence.
Avec le développement des moyens de communication numériques dans l'entreprise, un nombre colossal d'informations, y compris vitales, deviennent accessibles par le réseau.

Ainsi voit-on se développer les « Officines d'intelligence économique », i.e. des boîtes d'espionnage, pour parler sans euphémismes, tenues par des anciens de la DGSE ou de la PJ et avec elles les intrusions dans les réseaux, les vols de matériel… « EDF, le pirate et les officines » ; site : Archives Le Point ; auteurs : Jean-Michel Décugis, Christope Labbé, Olivia Recasens ; date : 23 avril 2009.

À ce propos, la DCRI organise régulièrement des stages de sensibilisation à la sécurité informatique²⁾, avec des difficultés certaines, étant donné l'ignorance totale des utilisateurs à l'égard de cette menace.

La sécurité dans les entreprises passe donc :

• par la limitation de l'accès au matériel (zones réservées, restrictions…) ;
• par la sécurisation physique du matériel (antivols, armoires fortes…) ;
• par la sécurisation virtuelle du matériel, des données et informations (lecteurs biométriques, disques chiffrés…) ;
• par la sécurisation des réseaux et des communications (formats de transfert chiffré : SSH…) ;
• par la formation du personnel aux risques.

Pour aller plus loin :

• sécurisation des données
• sécurisation des systèmes d'informations
• portail gouvernemental de sécurité informatique
• Les bonnes pratiques par l'ANSSI
• http://www.spyworld-actu.com/
• blog spécialisé Défense et IE
• et bien sûr, Google reste votre ami est un faux ami. (ce lien n'est plus maintenu)

La sécurité en informatique est un terme très large. Voici quelques liens particulièrement intéressants :

• sécurité des systèmes d'informations ;
• risques en sécurité informatique.

Ces articles sont assez complets et permettent d'entrevoir les problématiques liées à la sécurité informatique.
Entre autres notions de base expliquées dans les liens ci-dessus, voici les points les plus importants :

• la sécurité comporte un aspect psychologique et un aspect objectif ;
• l'approche objective de la sécurité s'intéresse aux causes (anglais : security) et aux effets (anglais : safety) ;
• la notion de sécurité met en relation les milieux technique et humain : elle touche directement la formation des personnes ;
• la sécurité augmente avec la connaissance et diminue avec l'ignorance : tout ce que je ne sais pas mais que les autres savent est un danger potentiel (paranoïa) ;
• la sécurité d'un système d'informations est égale à celle de son maillon le plus faible ;
• il convient d'adapter les mesures de protection aux risques encourus.

Quelques points si votre ordinateur est connecté à Internet ou à un réseau.

Mettez votre système régulièrement à jour afin de profiter des derniers correctifs de sécurité. Par défaut, Ubuntu recherche les mises à jour tout seul, mais si vous souhaitez vérifier manuellement cliquez ici.

Voir la page concernant les Pare-feu.

Voici une liste non exhaustive des principaux outils pour filtrer les connexions réseaux :

• ufw : est un utilitaire pour régler facilement le firewall
  • gufw : est l'application graphique de ufw sous Gnome;
  • ufw-kde est l'application graphique de ufw sous KDE;
• iptables - Iptables, le firewall en ligne de commande pour Linux;
• Leopard Flower : un firewall applicatif;
• bastille : script offrant un pas-à-pas guidé pour configurer iptables facilement et d'autres options très intéressantes;
• shorewall : un outil pour configurer plus facilement Netfilter;
• fail2ban : bloque les tentatives de connexions;
• snort : détection d'intrusions par règles;
• Hosts : Blocage d'adresse dangereuse;
• PGLD : Blocage d'adresse dangereuse - chargement des listes peerguardian sur internet automatiquement;
• denyhosts : bloque aussi les tentatives de connexions;
• Lire - Analyseur des fichiers log;
• picviz - Analyseur des fichiers log sous forme de graphique.

Pour votre navigateur Firefox vous pouvez ajouter le module Noscript : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque).
Détecte et empêche le crossitescripting, et améliore la sécurité des greffons flash, java (attention ce sont des greffons propriétaires)…

Un programme n'est pas à l'abri de failles de sécurité.
Si une faille est présente et que le programme est lancé en tant qu'utilisateur normal, dans le pire des cas, ce seront vos données personnelles qui seront endommagées.
Par contre, si le programme est lancé en tant que super-utilisateur, une faille pourrait éventuellement permettre d'effectuer toutes les actions permises aux super-utilisateur (suppressions de fichiers systèmes, installation de programmes…).

Un autre risque est celui d'une erreur humaine. Par exemple, si vous lancez Nautilus en super-utilisateur, vous pouvez supprimer des fichiers systèmes, modifier n'importe quel fichier…

Ainsi, il est recommandé d'éviter de lancer les programmes graphiques en tant que super-utilisateur, quand cela peut être évité. À plus large échelle, il est fortement recommandé de ne jamais démarrer un environnement de bureau (Gnome Shell, KDE…) en tant que super-utilisateur.

Le "Bureau à distance" est une fonctionnalité permettant de contrôler graphiquement votre ordinateur de l'extérieur.
Avoir cette fonctionnalité activée peut être dangereux, surtout si le mot de passe utilisé n'est pas suffisamment efficace.
Un utilisateur malicieux pourrait alors prendre le contrôle de votre ordinateur (avec les droits d'utilisateur normaux) et accéder à vos fichiers…
Ainsi, il est conseillé de le désactiver lorsqu'il ne vous est pas utile.

Voir la page Bureau à distance.

Pour le désactiver, entrez la commande suivante dans un terminal :

gsettings set org.gnome.Vino enabled false

Vous pouvez mettre cette commande dans les programmes au démarrage, afin d'automatiser la dévalidation à la connexion.

Voir la page wifi.

Consulter "la page dédiée aux antivirus".

• SSH : SSH permet de connecter une console distante sécurisée sur une autre machine;
• Openvpn : Installation du client OpenVPN (tunneling sécurisé sur IP), tutoriel complet sur les possibilités de OpenVPN;
• vpnc- Installation du client VPNC (compatible Cisco System);
• Protocole PPTP : Installation de pptp dans le NetworkManager;
• openvas : Logiciel pour scanner les réseaux et les failles des terminaux présents sur le réseaux, clone libre du scanner réseau Nessus;
• netdiscover : Outil actif/passif de découverte d'adresses réseaux utilisant des requètes ARP. Installez le paquet netdiscover.

Voir aussi la page Réseau.

• Ce logiciel nikto contient des scripts déjà écrits et prêts à l'emploi (ce qui fait gagner un temps précieux), ainsi vous pourrez tester les failles de sécurité de votre site web.

Voir le portail Serveur.

Explication :
Dans cette méthode, votre ordinateur a une adresse IP qui est directement accessible depuis internet ce qui facilite amplement les attaques et vous rend vulnérable à celles les plus élaborées (notamment sous linux).

Cette méthode est simple et consiste à créer un réseau privé qui isole en partie (via des ports) vos ordinateurs par rapport à internet et pour l'appliquer, il s'appuie sur les box ADSL. En effet ces dernières comportent un mode routeur qui sépare en quelque sorte internet de votre propre réseau en vous attribuant des IP privées (192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8).
Toutes les requêtes provenant d'internet sont interceptées par votre box ADSL qui agit comme un tampon entre internet et vos ordinateurs.
Il suffit ensuite d'autoriser la redirection (forward) de ports pour certains logiciels (p2p, bittorent, …) tel que aMule, bitTorrent ou Transmission.

• Freebox ADSL
  

Voir freebox pour savoir ouvrir des ports de connexions.

• SFR ADSL

Cette rubrique concerne les droits d'accès à vos données ou aux données de tiers.

• Explication sur les droits sous les systèmes Linux

Définitions :

• Glossaire : Accès et permissions
• Glossaire : Propriétaire
• Glossaire : Groupes
• Glossaire : Octale

Quelques outils :

• Sudo : Qu'est-ce que sudo ? Comment avoir des privilèges sans être root ?
• apparmor : un outil qui permet de verrouiller les applications en limitant strictement leur accès aux seules ressources auxquelles elles ont droit sans perturber leur fonctionnement. Installation facile sur ubuntu, et mis à jour par canonical.
• SELinux : qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système basé sur Linux.

Le chiffrement (la cryptographie) est une façon efficace de conserver et d'échanger des données sans que quiconque ne puisse les interpréter.

Voir ce chapitre

• encfs : Chiffrer des répertoires avec EncFS
• Créer un dossier privé et chiffré dans le /home avec Ecryptfs.
• Créer une archive Zip : sélectionner le dossier à chiffrer avec un clic-gauche, faire un clic-droit ⇒ Compresser, sélectionner le format .zip ⇒ cliquer sur la flèche à côté d'Autres options, écrire le mot de passe souhaité (à conserver précieusement ) puis cliquer sur créer.
• Cryptsetup.
• Veracrypt un outil de grande qualité, multi-plateforme, et qui a été développé sur base de Truecrypt et permet de créer un "conteneur" de fichiers chiffré très sûr et portable.

• GnuPG : logiciel de chiffrement très utilisé pour les communications sécurisées
• Enigmail : logiciel de chiffrement et signature numérique de courriel pour Thunderbird

• Peazip Ideal pour chiffrer ses dossiers professionel. Peazip est un outil de compression des données, mais qui permet de chiffrer les archives avec une clé AES-256 bit. Les versions portable (linux (i386, arm…), windows et Mac) sont téléchargeable sur le site officiel.
• Gpg4usb: logiciel de chiffrement basé sur GnuPG. Mais en version portable. Il est compatible avec Windows, Mac, et Linux, et ne pèse que quelque Mo. Un incontournable.
• Veracrypt Veracrypt est aussi disponible en mode portable pour windows et Linux/Mac (necessite possiblement les droit root à l'utilisation).
• Les applications Android : C'est du bricolage, mais les applications Android peuvent tourner dans Chromium ou google-chrome. L'astuce ici consiste à télécharger Chrome/Chromium en mode portable (sur Linux, le format portable est appimage), ainsi que l'extension ARC-Welder (par exemple). Vous n'avez plus qu'à utiliser l'application de chiffrement Android de votre choix, n'importe où.