Dans le cadre de l’utilisation des outils de gestion des droits d’accès dans une architecture client-serveur, il nous faut impérativement un protocole de communication qui permettra d’extraire les droits d’accès sur des machines distantes (hôtes). Notre choix s’est porté sur le protocole SNMP2 à cause de sa fiabilité, sa sécurité et son évolutivité qui permet l’utilisation d’une arborescence pour la gestion des variables.
SNMP permet le dialogue entre le superviseur et les agents (clients) afin de récupérer les objets souhaités dans la MIB3.
2. SNMP : Simple Network Management Protocol. 3. MIB : Management Information Base.
Figure 3.4 – Capture 2 d’écran de l’outil de validation.
Une MIB est un ensemble d’informations structuré sur une entité réseau, par exemple un routeur, un commutateur ou un serveur. Ces informations peuvent être récupérées ou modifiées par SNMP. [68] La MIB possède une structure hiérarchisée : les informations sont rassemblées en arbre. Chacune des informations possède un OID (object identifier) et un nom. (Voir figure3.5)
Figure 3.5 – Structure d’une MIB.
qui permet de récupérer les droits d’accès sur une machine distante Linux.(Voir AnnexeA.4). Ce script est écrit dans le langage de programmation python et est enregistré dans le fichier script.py. Il est à noter qu’avant d’exécuter ce script, l’outil pysnmp[69] doit être installé sur le serveur (machine qui émet la requête). La commande pour démarrer le serveur python se fait en ligne de commande (invité de commande) en précisant le chemin d’accès vers le fichier script.py. Ensuite, une fois le serveur python démarré, nous exécutons la commande snmpwalk comme suit :
snmpwalk -v3 -u Manu -l authPriv -A ManuSPassword -x AES -X ManuSSecondPassword localhost:2222 .1.4
snmpwalk est une commande Unix qui permet d’interroger une machine pourvue d’un agent SNMP à travers le réseau.[70]
La commande ci-dessus qui est associée au script script.py s’interprète de la façon suivante : Afficher les droits d’accès (ls -l ) de la machine distante avec les paramètres suivants :
- Version de SNMP : V3 (version 3) ; - Nom de l’hôte : Manu ;
- Le niveau de sécurité : authPriv ;
- Le mot de passe d’authentification : ManuSPassword ;
- Le protocole de chiffrement : AES (Advanced Encryption Standard) ; - Le mot de passe du chiffrement : ManuSSecondPassword ;
- Port d’écoute : La connexion sur la machine distante se fait en utilisant le port 2222 ; - OID Mib : Une branche Mib est créée dynamiquement et porte l’OID 1.4 ;
Définitivement, notre script (script.py) permet de récupérer les droits d’accès d’une machine Linux (Manu), les accès étant sur une Mib qu’on a créée dynamiquement (class MibCryptoShare(MibScalarInstance)), en toute sécurité (authentification et chiffrement).
3.7
Conclusion
L’analyse de conformité est incontournable pour la prévention des failles de sécurité et des pertes finan- cières. De nos jours, les systèmes informatiques sont tellement évolutifs et variés que l’administration manuelle rend pratiquement impossible la gestion des droits d’accès. AVTAC, une solution d’automa- tisation informatique, assure la sécurité et garantit une bonne gestion automatique des droits d’accès. Les principales fonctionnalités de l’outil de validation consistent :
— À collecter les objets qui expriment les droits d’accès dans les différentes plateformes informa- tiques par des scripts adaptés à chaque système.
— À initialiser l’ontologie avec ces objets afin d’afficher les droits d’accès valides et non valides selon une politique de sécurité donnée.
— À générer un rapport afin de permettre aux administrateurs de mieux appréhender l’apport de solution pour les droits d’accès non valide.
Conclusion générale
Le cycle de vie des utilisateurs au sein d’une organisation et les processus qui y sont associés ont des conséquences directes sur leurs droits dans le système informatique.
Un système complet de gestion des identités doit ainsi donner une vue globale des habilitations et des accès au SI. Il nous permet alors de maîtriser le risque opérationnel et de répondre aux contraintes réglementaires.
Dans ce mémoire, nous avons d’une part fait une synthèse de l’état de l’art des différents outils et techniques permettant la gestion des droits d’accès dans les réseaux informatiques et d’autre part de développer des outils permettant de récupérer automatiquement ces droits d’accès et de les analyser.
Dans le chapitre 1, nous avons décrit de façon générale, les principes fondamentaux et les pratiques liées à une bonne gestion des identités et des droits d’accès. Aussi à l’aide d’exemples, nous avons fait la synthèse de quelques outils de contrôle d’accès sans oublier de définir quelques normes de sécurité.
Une revue de littérature portant sur le contrôle d’accès sous Windows et Linux a été élaborée dans le chapitre 2. Ceci a permis de comprendre comment se fait la gestion du contrôle d’accès sur les systèmes d’exploitation les plus utilisés dans le monde de l’informatique.
Le chapitre 3 a été consacré à la présentation du framework AVTAC ainsi qu’au développement des outils de provisioning pour une meilleure gestion automatique des droits d’accès, sans oublier le méca- nisme de validation de ceux-ci et l’outil développé avec SNMP qui permet de récupérer les objets sur des machines distantes Linux.
Perspective
En mettant en œuvre un framework à la place d’un outil ordinaire, on a ainsi permis à AVTAC de couvrir l’ensemble des aspects de la gestion des droits d’accès et de l’analyse de conformité. De plus, d’autres outils pourront être ajoutés pour enrichir notre framework, il s’agit entre autres :
— Des outils pour récupérer les objets de type accès dans certaines plateformes systèmes (Androïd, IOS, MacOS...), des équipements réseau (routeurs, switch, hub..) et aussi des bases de données spécifiques.