Update the synopsys and add a new translated section.

svn path=/head/; revision=31402

fr_FR.ISO8859-1/books/handbook/security/chapter.sgml

@@ -30,7 +30,7 @@
       règles empiriques, et à
       des sujets avancés sous &os;.  De nombreux sujets
       abordés ici peuvent être appliqués à
-      la sécurité système et Internet en
+      la sécurité système et à l'Internet en
       général.
       L'Internet n'est plus un endroit “amical”
       dans lequel chacun désire être votre gentil voisin.
@@ -55,7 +55,7 @@
 
       <listitem>
 	<para>Les diff&eacute;rents m&eacute;canismes de chiffrement
-	  disponibles sous &os;, comme DES et MD5.</para>
+	  disponibles sous &os;, comme <acronym>DES</acronym> et <acronym>MD5</acronym>.</para>
       </listitem>
 
       <listitem>
@@ -64,28 +64,33 @@
       </listitem>
 
       <listitem>
-	<para>Comment configurer Kerberos, un autre syst&egrave;me
-	  d'authentification.</para>
+	<para>Comment configurer l'encapsuleur <acronym>TCP</acronym>
+	  pour une utilisation avec
+	  <application>inetd</application>.</para>
       </listitem>
 
       <listitem>
-	<para>Comment cr&eacute;er des coupe-feux en utilisant IPFW.</para>
+	<para>Comment configurer <application>KerberosIV</application>
+	  sous les versions de &os; ant&eacute;rieures &agrave; la
+	  5.0.</para>
       </listitem>
 
       <listitem>
-	<para>Comment configurer IPsec.</para>
+	<para>Comment configurer <application>Kerberos5</application>
+	  sous &os;.</para>
+      </listitem>
+
+      <listitem>
+	<para>Comment configurer IPsec et mettre en place un
+	  <acronym>VPN</acronym> entre machines &os; et
+	  &windows;.</para>
       </listitem>
 
       <listitem>
 	<para>Comment configurer et utiliser
-	  <application>OpenSSH</application>, la version
-	  de SSH impl&eacute;ment&eacute;e sous &os;.</para>
-      </listitem>
-
-      <listitem>
-	<para>Comment configurer et charger les modules d'extension
-	  de contr&ocirc;le d'acc&egrave;s en utilisant l'ensemble
-	  TrustedBSD MAC.</para>
+	  <application>OpenSSH</application>, la version de
+	  <acronym>SSH</acronym> impl&eacute;ment&eacute;e sous
+	  &os;.</para>
       </listitem>
 
       <listitem>
@@ -93,6 +98,22 @@
 	  utiliser.</para>
       </listitem>
 
+      <listitem>
+	<para>Comment employer l'utilitaire
+	  <application>Portaudit</application> pour l'audit des
+	  logiciels tierce-partie install&eacute;s &agrave; partir du
+	  catalogue des logiciels port&eacute;s.</para>
+      </listitem>
+
+      <listitem>
+	<para>Comment utiliser les avis de s&eacute;curit&eacute; de
+	  &os;.</para>
+      </listitem>
+
+      <listitem>
+	<para>Ce qu'est la comptabilit&eacute; des processus et
+	  comment l'activer sous &os;.</para>
+      </listitem>
     </itemizedlist>
 
     <para>Avant de lire ce chapitre, vous devrez:</para>
@@ -104,12 +125,239 @@
       </listitem>
     </itemizedlist>
 
+    <para>D'autres sujets relatifs &agrave; la s&eacute;curit&eacute;
+      sont abord&eacute;s par ailleurs dans ce Manuel.  Par exemple,
+      le contr&ocirc;le d'acc&egrave;s obligatoire est
+      pr&eacute;sent&eacute; dans le <xref linkend="mac"> et les
+      coupe-feux Internet sont d&eacute;velopp&eacute;s dans le <xref
+      linkend="firewalls">.</para>
   </sect1>
 
   <sect1 id="security-intro">
-    <title>Introduction ** Traduction en Cours **</title>
+    <title>Introduction</title>
 
-    <para></para>
+    <para>La s&eacute;curit&eacute; est un domaine qui d&eacute;bute
+      et se termine au niveau de l'administrateur syst&egrave;me.
+      Alors que tous les syst&egrave;mes multi-utilisateurs &unix; BSD
+      ont des s&eacute;curit&eacute;s inh&eacute;rentes, la mise en
+      place et la maintenance des m&eacute;canismes
+      suppl&eacute;mentaires de s&eacute;curit&eacute; pour conserver
+      des utilisateurs <quote>honn&ecirc;tes</quote> est probablement
+      une des t&acirc;ches les plus vastes de l'administrateur
+      syst&egrave;me.  La s&eacute;curit&eacute; des machines est
+      celle que vous voulez bien mettre en oeuvre, de plus les
+      pr&eacute;occupations en mati&egrave;re de
+      s&eacute;curit&eacute; sont plus que jamais en concurrence avec
+      les besoins de confort des utilisateurs.  Les syst&egrave;mes
+      &unix; sont, en g&eacute;n&eacute;ral, capables
+      d'ex&eacute;cuter un nombre important de processus
+      simultan&eacute;ment et plusieurs de ces processus fonctionnent
+      en tant que serveur &mdash; cela signifiant que des
+      entit&eacute;s ext&eacute;rieures peuvent se connecter et
+      &eacute;changer avec ces processus.  Comme les mini-ordinateurs
+      et les gros ordinateurs d'hier deviennent aujourd'hui nos
+      ordinateurs de bureau, et comme les ordinateurs sont
+      d&eacute;sormais en r&eacute;seau et reli&eacute;s &agrave;
+      Internet, la s&eacute;curit&eacute; devient d'autant plus un
+      probl&egrave;me majeur.</para>
+
+    <para>La s&eacute;curit&eacute; syst&egrave;me concerne
+      &eacute;galement la lutte contre les diverses formes d'attaque,
+      y compris les attaques destin&eacute;es &agrave; faire planter,
+      ou &agrave; rendre inutilisable le syst&egrave;me, mais qui ne
+      cherchent pas &agrave; compromettre le compte
+      <username>root</username>.  Les probl&egrave;mes de
+      s&eacute;curit&eacute; peuvent &ecirc;tre divis&eacute;s en
+      plusieurs cat&eacute;gories:</para>
+
+    <orderedlist>
+      <listitem>
+	<para>Attaques par d&eacute;ni de service.</para>
+      </listitem>
+
+      <listitem>
+	<para>Compte utilisateur compromis.</para>
+      </listitem>
+
+      <listitem>
+	<para>Le compte <username>root</username> compromis par
+	  l'interm&eacute;diaire de serveurs accessibles.</para>
+      </listitem>
+
+      <listitem>
+	<para>Le compte <username>root</username> compromis par
+	  l'interm&eacute;diaire de comptes utilisateur.</para>
+      </listitem>
+
+      <listitem>
+	<para>Cr&eacute;ation d'une <quote>Backdoor</quote> (porte
+	  d&eacute;rob&eacute;e).</para>
+      </listitem>
+    </orderedlist>
+
+    <indexterm>
+      <primary>attaques DoS</primary>
+      <see>d&eacute;ni de service (DoS)</see>
+    </indexterm>
+    <indexterm>
+      <primary>s&eacute;curit&eacute;</primary>
+      <secondary>attaques DoS</secondary>
+      <see>d&eacute;ni de service (DoS)</see>
+    </indexterm>
+    <indexterm><primary>d&eacute;ni de service
+      (DoS)</primary></indexterm>
+
+    <para>Une attaque par d&eacute;ni de service (<quote>DoS</quote>)
+      est une action qui prive la machine de ressources
+      n&eacute;cessaires &agrave; son bon fonctionnement.
+      G&eacute;n&eacute;ralement, les attaques par d&eacute;ni de
+      service sont des m&eacute;canismes de force brute qui tentent de
+      faire planter ou tout au moins de rendre inutilisable la machine
+      en saturant ses serveurs ou sa pile r&eacute;seau.  Certaines
+      attaques par d&eacute;ni de service peuvent se servir de bogues
+      pr&eacute;sents dans la pile r&eacute;seau pour faire planter
+      une machine avec un seul paquet.  Ces probl&egrave;mes ne
+      peuvent &ecirc;tre corrig&eacute;s que par l'application d'un
+      correctif sur le noyau.  On peut souvent rem&eacute;dier aux
+      attaques sur les serveurs en fixant correctement des options
+      pour limiter la charge que provoquent ces serveurs sur le
+      syst&egrave;me lors de conditions critiques.  Les attaques
+      r&eacute;seau par force brute sont plus difficiles &agrave;
+      traiter.  Une attaque par paquets usurp&eacute;s
+      (<quote>spoofed-packet</quote>), par exemple, est
+      quasi-impossible &agrave; arr&ecirc;ter, &agrave; moins de
+      d&eacute;connecter de l'Internet votre syst&egrave;me.  Elle
+      peut ne pas &ecirc;tre en mesure de stopper votre machine, mais
+      elle peut saturer votre connexion Internet.</para>
+
+    <indexterm>
+      <primary>s&eacute;curit&eacute;</primary>
+      <secondary>comptes compromis</secondary>
+    </indexterm>
+
+    <para>La compromission d'un compte utilisateur est bien plus
+      fr&eacute;quente qu'une attaque de type DoS.  De nombreux
+      administrateurs utilisent toujours sur leurs machines les
+      versions standards des serveurs
+      <application>telnetd</application>,
+      <application>rlogind</application>,
+      <application>rshd</application>, et
+      <application>ftpd</application>.  Par d&eacute;faut, ces
+      serveurs ne fonctionnent pas avec des connexions
+      chiffr&eacute;es.  Cela aura pour r&eacute;sultat si vous
+      disposez d'un nombre d'utilisateurs cons&eacute;quent qu'un ou
+      plusieurs de ces utilisateurs ayant l'habitude de se connecter
+      &agrave; partir d'une machine distante (ce qui repr&eacute;sente
+      la mani&egrave;re la plus courante et la plus pratique pour
+      ouvrir une session sur un syst&egrave;me) auront leur mot de
+      passe <quote>sniff&eacute;</quote>.  L'administrateur
+      syst&egrave;me m&eacute;ticuleux analysera ses journaux de
+      connexions effectu&eacute;es &agrave; partir de machines
+      distantes &agrave; la recherche d'adresses sources suspectes
+      m&ecirc;me pour les ouvertures de sessions ayant
+      r&eacute;ussies.</para>
+
+    <para>Il faut toujours supposer qu'une fois l'attaquant a
+      l'acc&egrave;s &agrave; un compte utilisateur, il pourra
+      s'attaquer et avoir acc&egrave;s au compte
+      <username>root</username>.  Cependant, la r&eacute;alit&eacute;
+      est que dans un syst&egrave;me bien s&eacute;curis&eacute; et
+      surveill&eacute;, l'acc&egrave;s &agrave; un compte utilisateur
+      ne donne pas n&eacute;cessairement &agrave; l'attaquant
+      l'acc&egrave;s au compte <username>root</username>.  Cette
+      distinction est importante car sans acc&egrave;s aux droits de
+      <username>root</username>, l'attaquant ne peut
+      g&eacute;n&eacute;ralement pas dissimuler ses traces et peut,
+      dans le meilleur des cas, ne rien faire d'autre que mettre la
+      pagaille dans les fichiers de l'utilisateur ou faire planter la
+      machine.  La compromission de comptes utilisateur est
+      tr&egrave;s fr&eacute;quente parce que les utilisateurs n'ont
+      pas l'habitude de prendre les pr&eacute;cautions que prennent
+      les administrateurs syst&egrave;me.</para>
+
+    <indexterm>
+      <primary>s&eacute;curit&eacute;</primary>
+      <secondary>backdoors</secondary>
+    </indexterm>
+
+    <para>Les administrateurs doivent garder &agrave; l'esprit qu'il
+      existe potentiellement de nombreuses mani&egrave;res d'avoir
+      acc&egrave;s au compte <username>root</username> sur une
+      machine.  L'attaquant peut conna&icirc;tre le mot de passe
+      <username>root</username>, l'attaquant peut trouver un bogue
+      dans un serveur tournant avec les droits de
+      <username>root</username> et &ecirc;tre en mesure de devenir
+      <username>root</username> par l'interm&eacute;diaire d'une
+      connexion r&eacute;seau &agrave; ce serveur, ou l'attaquant peut
+      conna&icirc;tre un bogue dans un programme suid-root qui permet
+      de devenir <username>root</username> une fois qu'il a
+      acc&eacute;d&eacute; &agrave; un compte utilisateur.  Si un
+      attaquant a trouv&eacute; un moyen de devenir
+      <username>root</username> sur une machine, il n'aura
+      peut-&ecirc;tre pas besoin d'installer une
+      <quote>backdoor</quote> (porte d&eacute;rob&eacute;e).  De
+      nombreux trous de s&eacute;curit&eacute;
+      <username>root</username> trouv&eacute;s et ferm&eacute;s
+      &agrave; temps demandent un travail consid&eacute;rable &agrave;
+      l'attaquant pour effacer ses traces, aussi la plupart des
+      attaquants installe des portes d&eacute;rob&eacute;es.  Une
+      porte d&eacute;rob&eacute;e offre &agrave; l'attaquant un moyen
+      ais&eacute; d'avoir &agrave; nouveau acc&egrave;s aux droits de
+      <username>root</username> sur le syst&egrave;me, mais cela donne
+      &eacute;galement &agrave; l'administrateur syst&egrave;me
+      intelligent un bon moyen de d&eacute;tecter l'intrusion.  Rendre
+      impossible &agrave; un attaquant l'installation d'une porte
+      d&eacute;rob&eacute;e peut en fait &ecirc;tre
+      pr&eacute;judiciable &agrave; votre s&eacute;curit&eacute;,
+      parce que cela ne fermera pas le trou qu'a d&eacute;couvert en
+      premier lieu l'attaquant pour p&eacute;n&eacute;trer sur le
+      syst&egrave;me.</para>
+
+    <para>Les solutions aux probl&egrave;mes de s&eacute;curit&eacute;
+      devraient toujours &ecirc;tre mises en place suivant l'approche
+      multi-couches de <quote>la pelure d'oignon</quote>, elles
+      peuvent &ecirc;tre class&eacute;es comme suit:</para>
+
+    <orderedlist>
+      <listitem>
+	<para>S&eacute;curiser les comptes <username>root</username>
+	  et d'administration.</para>
+      </listitem>
+
+      <listitem>
+	<para>S&eacute;curiser les serveurs ex&eacute;cut&eacute;s
+	  avec les droits de <username>root</username> et les binaires
+	  suid/sgid.</para>
+      </listitem>
+
+      <listitem>
+	<para>S&eacute;curiser les comptes utilisateurs.</para>
+      </listitem>
+
+      <listitem>
+	<para>S&eacute;curiser le fichier des mots de passe.</para>
+      </listitem>
+
+      <listitem>
+	<para>S&eacute;curiser le noyau, les
+	  p&eacute;riph&eacute;riques et les syst&egrave;mes de
+	  fichiers.</para>
+      </listitem>
+
+      <listitem>
+	<para>Installer un m&eacute;canisme de d&eacute;tection rapide
+	  des modifications inappropri&eacute;es apport&eacute;es au
+	  syst&egrave;me.<para>
+      </listitem>
+
+      <listitem>
+	<para>La parano&iuml;a.</para>
+      </listitem>
+    </orderedlist>
+
+    <para>La section suivante de ce chapitre abordera de
+      mani&egrave;re plus approfondie les points &eacute;nonc&eacute;s
+      ci-dessus.</para>
   </sect1>
 
   <sect1 id="securing-freebsd">