Nul ne savait depuis quand l’appareil traînait dans la salle de conférence. Déguisé en magnétoscope, il ressemblait à un banal équipement obsolète et tout le monde l’ignorait. Jusqu’à ce qu’un visiteur demande s’il pouvait débrancher son câble Ethernet pour brancher son ordinateur portable.Les magnétoscopes n’ont pas de câbles Ethernet !
Le responsable de la sécurité informatique ouvrit aussitôt l’engin et découvrit le pot aux roses. À l’intérieur, un micro et un circuit imprimé avec une prise Ethernet qui, il y a quelques instants encore, était connectée à un port Ethernet de la salle de conférence. En définitive, le circuit imprimé n’était rien d’autre qu’un micro espion, rapportant à un serveur éloigné tous les propos de la salle de conférence. La piste s’arrêta là et il fut impossible de démasquer le coupable. De l’avis général, ce truc-là était présent depuis plusieurs mois.
Ce récit décrit un événement réel, mais – on le comprendra – la société concernée souhaite garder l’anonymat. Il illustre l’un des nombreux dangers que présente un port Ethernet non protégé. Il y en a beaucoup d’autres : des visiteurs qui se branchent pour scruter votre réseau ou pour utiliser abusivement la connexion Internet, des ordinateurs contaminés se connectant et infectant votre LAN, des appareils sans fil sauvages ouvrant votre réseau à l’intrusion à distance. Pourtant, à moins de verrouiller physiquement chaque port Ethernet, un administrateur de réseau était peu armé pour protéger cette ressource essentielle.
Heureusement une solution a pris la forme d’un nouvel ensemble technologique collectivement appelé NAC (Network Access Control). NAC vous aidera à sécuriser le port Ethernet omniprésent, de telle sorte que seuls les utilisateurs autorisés puissent se connecter, et qu’ils soient soumis à un minimum d’inspection en matière de logiciel malveillant, virus et failles de sécurité. NAC est utilisable dès à présent, mais pour bien le choisir, vous devez connaître les principes de base de son fonctionnement et l’étendue de ses options.
NAC : aspects techniques
Pour protéger votre réseau, NAC applique deux tests principaux à chaque unité connectée : un contrôle d’identification pour s’assurer que l’appareil a le droit d’être sur le réseau, et un contrôle d’intégrité pour voir si l’unité transgresse une mesure de santé minimale (par exemple si elle véhicule une infection du réseau sous forme de virus ou de malware, ou si ses vulnérabilités la rendent trop dangereuse). Une troisième fonction possible (mais pas obligatoire) de NAC est de fournir le cryptage de données pour l’utilisateur câblé. Cet aspect est facultatif parce que, généralement, la commutation Ethernet est suffisamment sûre pour la plupart des applications. Cependant, des utilisateurs particulièrement sensibles pourront apprécier la protection supplémentaire qu’offre le cryptage.
Bien que NAC vise les ports Ethernet non protégés en particulier, il peut constituer un mécanisme de protection général pour tous les genres de méthodes de connexion utilisateur, y compris dial-up, VPN (réseau privé virtuel) et sans fil. Vu sous cet angle, NAC peut réellement simplifier la sécurité globale du réseau en fournissant un standard homogène unique pour l’admission des utilisateurs dans le réseau.
La manière dont NAC effectue ses deux tests principaux dépend de son fournisseur. Bien qu’il existe un standard NAC ouvert (voir l’encadré « standards NAC: nécessaires mais insuffisants »), il est incomplet et laisse une grande marge de manoeuvre aux fournisseurs. Il est impossible de décrire ici toutes les architectures NAC, mais elles ont toutes des attributs communs, applicables par un petit nombre de techniques communes.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.