{"id":4884,"date":"2022-07-19T14:29:58","date_gmt":"2022-07-19T12:29:58","guid":{"rendered":"https:\/\/www.vaadata.com\/blog\/?p=4884"},"modified":"2022-07-19T17:53:07","modified_gmt":"2022-07-19T15:53:07","slug":"comment-securiser-un-serveur","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/comment-securiser-un-serveur\/","title":{"rendered":"Comment s\u00e9curiser un serveur ?"},"content":{"rendered":"\n
\"Comment<\/figure><\/div>\n\n\n\n

La s\u00e9curit\u00e9 des serveurs<\/strong> est un enjeu majeur pour les entreprises. En effet, \u00e9tant un \u00e9l\u00e9ment central dans le fonctionnement de toutes les composantes d\u2019un syst\u00e8me d\u2019information (applications, r\u00e9seau, infrastructure, collaborateurs, etc.), les serveurs sont souvent les cibles privil\u00e9gi\u00e9es d\u2019attaques.<\/p>\n\n\n\n\n\n\n\n

Par ailleurs, des vuln\u00e9rabilit\u00e9s c\u00f4t\u00e9 serveur<\/strong> peuvent avoir des cons\u00e9quences s\u00e9v\u00e8res. En cas de mauvaise configuration ou de d\u00e9faut de contr\u00f4le, ces failles peuvent \u00eatre exploit\u00e9es et conduire \u00e0 la compromission des donn\u00e9es qui y transitent, voire \u00e0 la prise en main du serveur par des personnes malveillantes.<\/p>\n\n\n\n

Pourquoi la s\u00e9curit\u00e9 des serveurs est importante ?<\/h2>\n\n\n\n

Les cas d\u2019attaques de serveurs sont quotidiens car, tr\u00e8s souvent, de nombreuses br\u00e8ches existent. En effet, des applications vuln\u00e9rables \u00e0 des injections SQL<\/a> h\u00e9berg\u00e9es sur un serveur, des utilisateurs peu sensibilis\u00e9s aux risques d\u2019ing\u00e9nierie sociale<\/a> ou, tout simplement, de mauvaises pratiques en mati\u00e8re de mises \u00e0 jour et de gestion des correctifs du syst\u00e8me d\u2019exploitation et des services d\u2019un serveur, permettent facilement aux attaquants de parvenir \u00e0 leurs fins : vol de donn\u00e9es, acc\u00e8s \u00e0 des informations sensibles, paralysie de l\u2019activit\u00e9 d\u2019une entreprise, etc.  <\/p>\n\n\n\n

S\u00e9curiser un serveur est donc vital<\/strong> et cela passe n\u00e9cessairement par l\u2019impl\u00e9mentation des meilleures pratiques en termes de configuration, de contr\u00f4le, de suivi et de tests s\u00e9curit\u00e9.<\/p>\n\n\n\n

Cet article ne vise pas l\u2019exhaustivit\u00e9. Il abordera la s\u00e9curit\u00e9 des serveurs uniquement sous l\u2019angle des bonnes pratiques, avec quelques informations compl\u00e9mentaires sur les risques, les types d\u2019attaques et les vuln\u00e9rabilit\u00e9s qui peuvent \u00eatre exploit\u00e9es par des attaquants pour compromettre un serveur. <\/p>\n\n\n\n

Politique de mise \u00e0 jour et de gestion des correctifs, hardening, contr\u00f4le et s\u00e9curit\u00e9 des acc\u00e8s et de l\u2019administration (via SSH notamment), bonnes pratiques de logging et de monitoring, tests d\u2019intrusion, etc., nous pr\u00e9sentons ici les mesures principales pour renforcer la s\u00e9curit\u00e9 la s\u00e9curit\u00e9 de vos serveurs<\/strong>.<\/p>\n\n\n\n

Mettre en \u0153uvre une politique de mise \u00e0 jour et de gestion des correctifs des serveurs<\/h2>\n\n\n\n

Mettre en \u0153uvre une politique de gestion des mises \u00e0 jour des syst\u00e8mes d’exploitation et des services est essentiel pour maintenir un bon niveau de s\u00e9curit\u00e9. En effet, de nouvelles vuln\u00e9rabilit\u00e9s sont d\u00e9couvertes et publi\u00e9es r\u00e9guli\u00e8rement. Et si les correctifs de s\u00e9curit\u00e9 ne sont pas appliqu\u00e9s \u00e0 temps, les risques d\u2019attaques et de compromission des serveurs augmentent<\/strong>.  <\/p>\n\n\n\n

Les nombreuses attaques subies par les entreprises, via des malwares notamment, suite \u00e0 la publication d\u2019un patch d\u2019un protocole, un logiciel, d\u2019un syst\u00e8me d\u2019exploitation, etc., doivent pousser tout type d\u2019organisation \u00e0 adopter une posture proactive, d\u2019autant plus que les informations sur les vuln\u00e9rabilit\u00e9s et exploitations sont publi\u00e9es et donc accessibles \u00e0 des attaquants internes comme externes.<\/p>\n\n\n\n

Par ailleurs, il est vrai qu\u2019il est recommand\u00e9 de faire preuve de prudence lorsqu\u2019il s\u2019agit d’installer des mises \u00e0 jour logicielles, car des tests sont toujours n\u00e9cessaires, voire indispensables. Cependant, il est g\u00e9n\u00e9ralement peu judicieux car plus risqu\u00e9 de retarder ce processus, car une attitude passive m\u00e8ne tr\u00e8s souvent \u00e0 la compromission des syst\u00e8mes d\u2019information. <\/p>\n\n\n\n

Ainsi, il est donc important de d\u00e9finir et mettre en \u0153uvre une politique de mise \u00e0 jour et de gestion des correctifs des serveurs et de toutes les composantes logicielles et mat\u00e9rielles du SI. Cela passe par une documentation des proc\u00e9dures et un suivi continu via une veille sur les diff\u00e9rentes releases de patchs ou de nouvelles versions.<\/p>\n\n\n\n

D\u00e9sactiver ou supprimer les services inutiles<\/h2>\n\n\n\n

Tout logiciel et composants install\u00e9s sur un syst\u00e8me d’exploitation augmente la surface d’attaque<\/strong>, donc le risque de compromission. Cependant, renforcer la s\u00e9curit\u00e9 des serveurs passe imp\u00e9rativement par une r\u00e9duction de cette surface d\u2019attaque<\/a>. Pour ce faire, il est n\u00e9cessaire de d\u00e9sactiver voire de supprimer (dans la mesure du possible) tous les services, applications, protocoles r\u00e9seau, composants tiers, etc. qui ne sont pas essentiels au fonctionnement de votre serveur.<\/p>\n\n\n\n

Supprimer ou d\u00e9sactiver les syst\u00e8mes inutiles renforce la s\u00e9curit\u00e9 d’un serveur <\/strong>de plusieurs fa\u00e7ons. En premier lieu, ils ne peuvent ni \u00eatre compromis, ni servir de vecteurs d\u2019attaques pour alt\u00e9rer les services essentiels au fonctionnement du serveur. Il faut en effet garder \u00e0 l\u2019esprit que chaque composant ajout\u00e9 \u00e0 un serveur augmente le risque de compromission de ce dernier. De plus, le serveur peut \u00eatre configur\u00e9 pour mieux r\u00e9pondre aux exigences d’un service particulier, tout en am\u00e9liorant les performances et le niveau global de s\u00e9curit\u00e9. Enfin, r\u00e9duire les services c\u2019est limiter le nombre de journaux et d’entr\u00e9es de logs, ce qui facilite le monitoring donc la d\u00e9tection d\u2019\u00e9v\u00e9nements inhabituels.<\/p>\n\n\n\n

Contr\u00f4ler et s\u00e9curiser les acc\u00e8s au serveur : Focus sur SSH <\/h2>\n\n\n\n

Pr\u00e9sentation de SSH : outil incontournable pour assurer une bonne gestion et une administration s\u00e9curis\u00e9e du serveur<\/h3>\n\n\n\n

SSH (Secure Shell) est \u00e0 la fois un protocole de communication et un programme informatique permettant l\u2019administration en local et \u00e0 distance d\u2019un serveur. Son impl\u00e9mentation la plus couramment rencontr\u00e9e est OpenSSH, que l\u2019on retrouve sur un grand nombre de syst\u00e8mes, aussi bien des serveurs (Unix, Linux, Windows) que des postes de travail ou des \u00e9quipements r\u00e9seau.<\/p>\n\n\n\n

En effet, OpenSSH est une suite d\u2019outils offrant de nombreuses fonctionnalit\u00e9s, avec notamment : un serveur (sshd), plusieurs clients \u2013 connexion shell distante (ssh) \/ transfert et t\u00e9l\u00e9chargement de fichiers (scp et sftp), un outil de g\u00e9n\u00e9ration de cl\u00e9s (ssh-keygen), un service de trousseau de cl\u00e9s (ssh-agent et ssh-add), etc.<\/p>\n\n\n\n

Par ailleurs, SSH existe aujourd\u2019hui en deux versions : SSHv1 et SSHv2. SSHv1 contient des vuln\u00e9rabilit\u00e9s qui ont \u00e9t\u00e9 corrig\u00e9es dans la version 2. Ainsi, pour une s\u00e9curit\u00e9 renforc\u00e9e seule la version 2 du protocole SSH doit \u00eatre autoris\u00e9e<\/strong>.<\/p>\n\n\n\n

La fonctionnalit\u00e9 de SSH la plus utilis\u00e9e est l\u2019administration \u00e0 distance, qui consiste \u00e0 se connecter \u00e0 une machine distante et \u00e0 lancer une session shell suite \u00e0 une authentification. Sur ce point, l\u2019avantage apport\u00e9 par SSH est sa s\u00e9curit\u00e9. Une autre fonctionnalit\u00e9 couramment utilis\u00e9e concerne le transfert et le t\u00e9l\u00e9chargement de fichiers, \u00e0 la fois d\u2019un client vers un serveur et d\u2019un serveur vers un client. Pour ce faire, SSH propose deux m\u00e9canismes : SCP et SFTP, qui doivent toujours \u00eatre pr\u00e9f\u00e9r\u00e9s aux anciens protocoles tels que RCP et FTP.<\/p>\n\n\n\n

Authentification par cl\u00e9 publique \/ certificat<\/h3>\n\n\n\n

Ne pas s\u2019assurer de l\u2019authenticit\u00e9 d\u2019un serveur peut avoir de nombreux impacts sur la s\u00e9curit\u00e9, notamment l\u2019impossibilit\u00e9 de v\u00e9rifier que l\u2019on communique bien avec le bon serveur, avec des risques d\u2019usurpation donc, et l\u2019exposition aux attaques Man in The Middle<\/a>.<\/p>\n\n\n\n

SSH repose sur le chiffrement asym\u00e9trique pour l\u2019authentification, et permet donc de s\u2019assurer de la l\u00e9gitimit\u00e9 du serveur contact\u00e9 avant de poursuivre l\u2019acc\u00e8s. Par ailleurs, ce contr\u00f4le se fait de plusieurs fa\u00e7ons avec OpenSSH. Soit en s\u2019assurant que l\u2019empreinte de la cl\u00e9 publique obtenue pr\u00e9alablement avec ssh-keygen et pr\u00e9sent\u00e9e par le serveur est la bonne, ou en v\u00e9rifiant la signature du certificat pr\u00e9sent\u00e9 par le serveur avec une autorit\u00e9 de certification reconnue par le client.<\/p>\n\n\n\n

Algorithmes et tailles de cl\u00e9s recommand\u00e9s<\/h4>\n\n\n\n

La qualit\u00e9 des cl\u00e9s est un aspect important de la s\u00e9curit\u00e9 d\u2019un serveur. Il existe plusieurs algorithmes et tailles de cl\u00e9s exploitables par SSH. Cependant, tous ne se valent pas en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Dans la pratique, notons que les cl\u00e9s permettant d\u2019authentifier un serveur SSH sont souvent peu renouvel\u00e9es. Il est donc important de choisir d\u00e8s le d\u00e9part des cl\u00e9s de taille suffisamment grande. Cependant, l\u2019impl\u00e9mentation DSA pr\u00e9sente dans OpenSSH est limit\u00e9e \u00e0 une taille de cl\u00e9 de 1024 bits, ce qui est insuffisant. De fait, l\u2019usage de cl\u00e9s DSA n\u2019est pas recommand\u00e9 car la taille de cl\u00e9 minimale doit \u00eatre de 2048 bits pour les cl\u00e9s RSA ou de 256 bits pour les cl\u00e9s ECDSA.<\/p>\n\n\n\n

Pour plus d’informations, nous vous renvoyons vers le guide de selection d’algorithmes de chiffrement de l’ANSSI<\/a>. <\/p>\n\n\n\n

Droits d\u2019acc\u00e8s et diffusion des cl\u00e9s<\/h4>\n\n\n\n

Les cl\u00e9s d\u2019authentification SSH peuvent \u00eatre regroup\u00e9es en deux cat\u00e9gories : celles utilis\u00e9es pour l\u2019authentification d\u2019utilisateurs et celles d\u00e9di\u00e9es \u00e0 l\u2019authentification du serveur. Et comme son qualificatif l\u2019indique, une cl\u00e9 priv\u00e9e doit \u00eatre secr\u00e8te et prot\u00e9g\u00e9e pour \u00e9viter la diffusion \u00e0 une personne non autoris\u00e9e<\/strong>. En effet, elle ne doit \u00eatre connue de l\u2019entit\u00e9 qui cherche \u00e0 prouver son identit\u00e9 \u00e0 un tiers et \u00e9ventuellement d\u2019une autorit\u00e9 de confiance.<\/p>\n\n\n\n

Par ailleurs, les mesures de s\u00e9curit\u00e9 applicables vont l\u00e9g\u00e8rement varier suivant qu\u2019il s\u2019agisse d\u2019une cl\u00e9 serveur ou d\u2019une cl\u00e9 utilisateur. Ainsi, une cl\u00e9 priv\u00e9e d\u2019authentification serveur ne doit \u00eatre lisible que par le service sshd, tandis qu\u2019une cl\u00e9 priv\u00e9e d\u2019authentification utilisateur ne doit \u00eatre lisible que par l\u2019utilisateur auquel elle est associ\u00e9e<\/strong>. Et comme le risque d\u2019une utilisation frauduleuse de la cl\u00e9 priv\u00e9e g\u00e9n\u00e9r\u00e9e pour un utilisateur est r\u00e9el, le stockage de cette cl\u00e9 doit \u00eatre s\u00e9curis\u00e9, donc chiffr\u00e9.<\/p>\n\n\n\n

Choix des algorithmes sym\u00e9triques<\/h4>\n\n\n\n

Suite \u00e0 une authentification r\u00e9ussie, le canal de communication doit \u00eatre prot\u00e9g\u00e9, donc chiffr\u00e9.  L\u2019algorithme de chiffrement des donn\u00e9es doit reposer sur de l\u2019AES 128, AES 192 ou AES 256. Et pour assurer l\u2019int\u00e9grit\u00e9, des algorithmes de hash tels que HMAC SHA-1, SHA-256 ou SHA-512 doivent \u00eatre utilis\u00e9s.  <\/p>\n\n\n\n

Par ailleurs, le choix des algorithmes \u00e9tant \u00e9tabli suivant une n\u00e9gociation entre le client et le serveur, la liste des algorithmes doit \u00eatre fix\u00e9e des deux c\u00f4t\u00e9s et les algorithmes consid\u00e9r\u00e9s comme faibles doivent \u00eatre retir\u00e9s.<\/p>\n\n\n\n

S\u00e9curit\u00e9 de l\u2019authentification et contr\u00f4le des acc\u00e8s utilisateurs<\/h3>\n\n\n\n

Les utilisateurs d\u2019un syst\u00e8me disposent toujours de droits, aussi minimes soient-ils. Il est donc important de prot\u00e9ger leurs acc\u00e8s via un m\u00e9canisme d\u2019authentification s\u00e9curis\u00e9 et de d\u00e9jouer autant que possible les attaques brute force.<\/strong><\/p>\n\n\n\n

En premier lieu, chaque utilisateur doit disposer de son propre compte afin d\u2019assurer une meilleure tra\u00e7abilit\u00e9 et l\u2019attribution des droits d\u2019acc\u00e8s doit toujours suivre le principe du moindre privil\u00e8ge<\/strong>. De plus, les acc\u00e8s \u00e0 un service doivent \u00eatre restreints aux utilisateurs qui en ont un besoin justifi\u00e9 et qui sont explicitement autoris\u00e9s.<\/p>\n\n\n\n

Concernant les utilisateurs autoris\u00e9s \u00e0 configurer le syst\u00e8me d’exploitation des serveurs, ils doivent \u00eatre limit\u00e9s \u00e0 un petit nombre d’administrateurs d\u00e9sign\u00e9s.<\/p>\n\n\n\n

Par ailleurs, il est fortement d\u00e9conseill\u00e9 d’utiliser des m\u00e9canismes d’authentification dans lesquels les informations d’authentification sont transmises en clair sur un r\u00e9seau<\/strong>, car ces informations peuvent \u00eatre intercept\u00e9es, via des attaques Man In the Middle et utilis\u00e9es par un attaquant pour se faire passer pour un utilisateur autoris\u00e9.<\/p>\n\n\n\n

Enfin, pour assurer une authentification s\u00e9curis\u00e9e des utilisateurs, les mesures suivantes doivent \u00eatre appliqu\u00e9es :<\/p>\n\n\n\n