Il ne reste pratiquement plus qu’à s’assurer que nos données ne sont pas modifiées ou altérées sans que nous le sachions ou y consentions au préalable. Nous pouvons le faire sur nos systèmes en utilisant ce que l’on appelle les systèmes de détection de changements de fichiers ou de surveillance d’intégrité. Ils sont très courants côté serveur, mais il est aussi important de les envisager pour vos systèmes personnels. Ces applications ou services pour votre système fonctionnent en surveillant certains fichiers ou certaines parties de votre système afin de détecter tout type de changement en lecture ou en écriture. Ainsi, si nous avions un système comme celui-ci configuré sur notre serveur et que quelqu’un s’y introduisait sans notre permission, nous pourrions être alertés par courriel si certains fichiers étaient consultés ou modifiés. Cela nous donnerait un avertissement indiquant que l’un de nos systèmes a été compromis.
Je ne suis pas vraiment un expert de l’utilisation de ce type d’outils, mais j’ai lu un peu à leur sujet et j’en ai trouvé deux populaires sur lesquels vous pouvez faire vos propres recherches.
- OSSEC: https://www.ossec.net/
- Tripwire: https://www.tripwire.com/solutions/file-integrity-and-change-monitoring/
En note complémentaire, j’ai un ami qui a développé un rootkit capable de contourner OSSEC dans son état par défaut sur Debian 7. Je ne suis pas certain que cela fonctionne sur un système Debian 8, mais je peux confirmer que ce n’est PAS optimisé pour un autre système d’exploitation. La réalité est que, même avec des systèmes de détection de changements de fichiers, il reste possible de retourner complètement votre système si quelqu’un est assez expérimenté. Néanmoins, ajouter ces mesures de sécurité à votre configuration n’est pas une mauvaise chose et ne fera qu’augmenter la sécurité dont vous disposez.
Pour aller plus loin, voir :