|
| |
|
|
 |
| Le filtrage Web face aux nouveaux usages de l'Internet en entreprise |
| Montée en puissance de la mobilité, des solutions de réseaux privés virtuels cryptés, des contenus multimédias ou générés à la volée : autant de transformations des usages qui changent la manière d'aborder le filtrage Web.
(11/05/2006) |
|
Pour limiter les usages illégaux d'Internet en entreprise, se protéger juridiquement ou encore éviter la propagation de virus en provenance de sites peu sécurisés, la mise en place de solutions de filtrage s'est imposée comme une protection de base du système d'information, au même titre que l'antivirus ou le pare-feu.
Toutefois, l'évolution du Web a pris de court les méthodes de filtrage d'URL. Les pages contiennent en effet de plus en plus de contenus multimédias (sons, images ou vidéos), de nouveaux contenus (blogs, vidéos en streaming ou webradios, échanges de fichiers peer-to-peer) ou d'affichage dynamique des pages. Et les connexions au Web s'effectuent pour partie en dehors de l'entreprise, par le biais de terminaux mobiles ou sur des liaisons sécurisées.
"Un filtrage efficace commence par une combinaison de plusieurs techniques : un filtrage des noms de domaines, donc des URL, un filtrage en fonction du contenu et des associations de mots clés, puis un filtrage de bas niveau qui bloque par exemple des adresses IP au niveau du pare-feu. Cette combinaison peut être plus ou moins élaborée selon la politique de sécurité et l'usage d'Internet dans l'entreprise", annoncent Ali Rahbar et Renaud Lifchitz, consultants en sécurité informatique pour Sysdream.
Par ce biais, une entreprise peut passer outre certaines limites du filtrage d'URL pur où le nom de domaine semble correct mais le contenu ne correspond pas à la charte informatique de l'entreprise. Le filtrage par contenu s'avère de fait plus pertinent. Il est capable de rechercher dans la page certains mots clés ou associations d'idées pour déterminer la teneur général du site visité simplement en analysant les balises HTTP.
| Une combinaison de techniques pour améliorer l'efficacité du filtrage |
A l'inverse, la mise en place d'une liste blanche et d'une liste noire s'avère être une solution coûteuse en temps d'administration et peu efficace car constamment remise en cause par l'arrivée de nouveaux sites indésirables. Pourtant, ce travail de fourmi est essentiel sur des cas particuliers (arnaques en ligne ou phishing, contenu non identifiable par la solution comme les fichiers multimédias, etc.).
"Il existe des technique de reconnaissance de formes et de couleurs mais cela reste difficile de filtrer le contenu des images. Pour la vidéo, la granularité est quasi impossible aujourd'hui. Il faut soit les autoriser, soit les interdire. A noter que pour ces contenus, il faut effectuer un filtrage sur le type MIME pour identifier le format de données et pas simplement sur l'extension du fichier, sinon il suffit d'ajouter un .txt à la fin d'un fichier vidéo pour tromper le système", analyse Frédéric Charpentier, consultant en sécurité informatique chez Xmco Partners.
Mais outre le filtrage des contenus, ces solutions doivent désormais se lier aux autres solutions de sécurité de l'entreprise pour analyser l'intégrité des pages, y compris sur des sites dont le contenu est a priori autorisé.
"A la manière d'un antivirus, le filtre télécharge la page HTML et son contenu, puis vérifie qu'il n'y a pas de codes malveillants, de contrôle ActiveX ou d'autres failles. Par exemple, dans le cas de la récente vulnérabilité affectant Internet Explorer sur des fichiers images, les filtres peuvent être capables d'analyser le type de fichier JPEG et voir s'il est vérolé", ajoute le consultant de Xmco Partners.
| Instaurer des règles de sécurité par protocole |
Cette fonction peut être combinée à du filtrage par protocole, une étape intervenant au niveau du pare-feu où des règles de sécurité vont interdire par exemple le trafic UDP, le trafic FTP ou le trafic HTTP en dehors du port 80. Le responsable sécurité aura aussi la possibilité d'interdire le téléchargement de fichier exécutable (Zip ou Exe). Là encore, plus le filtrage est élevé, plus il est limitatif vis-à-vis des utilisateurs.
Et les limites d'un filtrage - même combiné - réapparaissent face à l'évolution des usages du Web, comme par exemple le service de cache de Google. Ce service trompe en effet les outils de filtrage d'URL car le domaine est celui de Google, même si le contenu ne provient pas de lui. Des sites de traduction peuvent aussi servir à réafficher une page en passant par un service tiers.
Enfin, il existe des tunnels cryptés passant outre certaines protections. C'est le cas des réseaux privés virtuels (VPN), des connexions HTTPS où le flux n'est plus lisible par l'outil de filtrage. "Le cauchemar des entreprises, ce sont les tunnels cryptés et anonymes. En Chine, certains internautes les utilisent pour éviter la censure du gouvernement. Ce sont des projets tels que Tor.eff.org", déclarent Ali Rahbar et Renaud Lifchitz.
D'autres services comme GotomyPC autorisent l'internaute à accéder à son poste personnel depuis sa connexion professionnelle par le biais d'Active X. "L'état de l'art commence à apporter des réponses au filtrage HTTPS. On s'aperçoit notamment que le comportement du flux HTTPS change s'il est utilisé à des fins malveillantes", explique toutefois Frédéric Charpentier.
| L'analyse statistique des flux fortement recommandée |
Au vu de l'évolution des techniques de contournement des solutions de filtrage, les experts en sécurité informatique recommandent de mettre en place des outils d'analyse statistique. En suivant régulièrement les flux, l'entreprise se dote d'une meilleure connaissance de son réseau et peut interpréter plus facilement tout comportement anormal non détecté par les solutions de sécurité en place. Enfin, elle adapte ainsi ses protections au fur et à mesure des nécessités.
"Eviter que les utilisateurs ne surfent sur des sites indésirables n'est pas une mesure de sécurité. Au contraire, un utilisateur sera poussé à se détacher d'un accès à l'Internet de ce type. Il va le contourner au besoin par des accès de nature différente comme un réseau 3G, ou ADSL privé dans son bureau ou un tunnel qu'il établira avec son ordinateur resté à son domicile personnel", déclare Hervé Schauer, consultant et dirigeant du cabinet de conseil HSC, spécialisé dans la sécurité informatique.
"Je recommande plutôt d'analyser l'usage des utilisateurs, et si un abus est détecté, que le manager responsable de la personne lui fasse remarquer en entretien qu'elle passe son temps sur Internet à des actions qui ne correspondent pas à son métier. Il faut rester souple : interdire boursorama et meetic n'améliorera certainement pas la sécurité dans l'entreprise", poursuit Hervé Schauer.
Un serveur proxy peut en revanche détecter les logiciels espions ou les chevaux de Troie présents sur le réseau de l'entreprise lorsqu'ils tentent de communiquer et renforcer la sécurité du réseau. Des outils Open Source comme Squid, Privoxy et DansGuardian répondent directement à ce besoin. |
|
|
|
Dossier 
