A l'aide d'exemples avérés, cette présentation décrit des modèles d'attaque ainsi que les mesures appropriées pour les mitiger. Forts de leur expérience "terrain" et ses retours, les experts en sécurité de l’information d’ELCA présentent les « modi operandi » et motivations des pirates afin d'augmenter les chances de parer leurs attaques.

1. Connaître son adversaire
Sébastien Bischof, IT Security Expert
Grégory Ruch, IT Security Expert
Fribourg, 6 Septembre 2016

2. INTERVENANTS
Grégory Ruch
Expert en sécurité des systèmes d’information
Master of Science en Technologies de l’Information et de
Communications – HES-SO
Sébastien Bischof
Expert en sécurité des systèmes d’information
Master of Science en Technologies de l’Information et de
Communications – HES-SO
| 06.09.2016 | 2Événement cybersécurité
Signe distinctif: n’est pas votre adversaire !
Signe distinctif: n’est pas votre adversaire !

3. INTRODUCTION
故曰：知彼知己，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必殆
“Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais
être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque
victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même, perdra
inéluctablement toutes les batailles.”
Sun Tzu (~ 450 ans av. J.-C.)
| 06.09.2016 | 3Événement cybersécurité

4. Le b.a. - ba – Google search : «Cyber security enemies»
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 4Événement cybersécurité
Adversaire Objectifs Capacités Processus
Ciblés
Etats, Services
de
renseignement
• Information
• Espionnage
• Lutter contre le
terrorisme / criminalité
• Grande capacité financière
• Concentré sur les bénéfices et
moins sur les coûts
• Acquisition d’expertise et
formation
• Attaques soutenues et
insoupçonnées
Terroristes • Dommages
• Visibilité
• Manipulation,
influencer la politique
• Bonne capacité financière
utilisée pour des attaques
physique et logique.
• Acquisition d’expertise et
formation sur le marché noir
• Attaques physiques et
logiques
Crime
(organisé)
• Argent • Etabli dans le monde des
affaires
• Gain d’argent sur le long-terme
• Le ratio coûts/bénéfices maitrisé
• Groupes existants
• Groupes de spécialistes
organisés spontanément
• Corruption
Opportunistes
“Hacktivists” • Visibilité
• Dommages
• Abus de vulnérabilités
sur des systèmes
• Peu d’investissement financier
nécessaire
• Très grande sphère d’influence
• Amateurs et spécialistes très
motivés
• Développement rapidement,
dynamique et imprévisible.
Vandales,
“script kiddies”
• Prestige • Peu de ressources et de
connaissances
• Utilisation d’outils

5. | 06.09.2016 | 5Événement cybersécurité

6. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
« Quelles sont les motivations des attaquants ? »
Le profit
| 06.09.2016 | 6Événement cybersécurité

7. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
« Quelles sont les motivations des attaquants ? »
Le profit
| 06.09.2016 | 6Événement cybersécurité

8. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
« Quelles sont les motivations des attaquants ? »
Le profit
| 06.09.2016 | 6Événement cybersécurité

9. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cybersécurité
Source:http://www.bleepingcomputer.com/

10. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cybersécurité
Source:http://www.bleepingcomputer.com/

11. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cybersécurité

12. Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cybersécurité
Source:http://www.bleepingcomputer.com/

13. CONAITRE SON ADVERSAIRE
| 06.09.2016 | 8Événement cybersécurité

14. Quels sont les autres motifs des attaquants (1/5)
CONNAITRE SON ADVERSAIRE
■ Justice sociale ou politique
Anonymous is a loosely associated international
network of activist and hacktivist entities.
(www.wikipedia.org)
«United States Army Cyber Command and Second
Army directs and conducts integrated electronic
warfare, information and cyberspace operations as
authorized, or directed, to ensure freedom of action
in and through cyberspace and the information
environment, and to deny the same to our
adversaries.»
(www.arcyber.army.mil)
| 06.09.2016 | 9Événement cybersécurité

15. Quels sont les autres motifs des attaquants (2/5)
CONNAITRE SON ADVERSAIRE
■ Patriotisme ou idéologie
«Groups of patriotic Eastern European hackers are using cyberattacks as a
means to achieve Russia’s geopolitical goals.» (www.foxnews.com)
| 06.09.2016 | 10Événement cybersécurité

16. Quels sont les autres motifs des attaquants (3/5)
CONNAITRE SON ADVERSAIRE
■ Sabotage
«Stuxnet changed the game in our awareness», Phyllis Schneck, vice president
and chief technology officer for public sector at McAfee, said in an interview.
«Attacks are being developed directly for the capability of creating events
on a physical infrastructure.»
| 06.09.2016 | 11Événement cybersécurité

17. Quels sont les autres motifs des attaquants (4/5)
CONNAITRE SON ADVERSAIRE
■ Ego ou vanité
“Anonymous claims that a cyberattack launched against Israeli government Web
sites this weekend has caused billions of dollars of damage, although Israeli
officials say there have been no major disruptions.” (www.cnet.com)
| 06.09.2016 | 12Événement cybersécurité
Source: xkcd.com

18. Quels sont les autres motifs des attaquants (5/5)
CONNAITRE SON ADVERSAIRE
■ Vengeance
| 06.09.2016 | 13Événement cybersécurité

19. Evolution
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 14Événement cybersécurité

20. Evolution - Idées préconçues vs. réalité
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 15Événement cybersécurité

21. Evolution - Idées préconçues vs. réalité
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 15Événement cybersécurité

22. “The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
■ The 15th of August, an unknown group called Shadow Brokers started an
auction after claiming they hacked Equation Group (NSA entity named like
that by Kaspersky, and believed to be the author of Stuxnet & Flame)
| 06.09.2016 | 16Événement cybersécurité
Source: https://medium.com/@msuiche

23. “The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 17Événement cybersécurité
Source: https://medium.com/@msuiche

24. “The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 18Événement cybersécurité
Source: https://medium.com/@msuiche

25. “The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 19Événement cybersécurité
Source: https://medium.com/@msuiche

26. “The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 20Événement cybersécurité
Source: https://medium.com/@msuiche

27. “The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 20Événement cybersécurité
Source: https://medium.com/@msuiche

28. CRM dans le cloud
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 21Événement cybersécurité
Ce nouveau CRM,
on le met chez nous
ou dans le cloud?

29. CRM dans le cloud
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 21Événement cybersécurité
 Les utilisateurs
consomment le service
CRM cloud à travers un
canal sécurisé
 Il est très probable que le CRM soit
hébergé dans une infrastructure de
virtualisation.
 Les Administrateurs ont accès à
l’hyperviseur et ses fonctions
d’administration mais pas à la
machine virtuelle et ne peuvent donc
pas déchiffrer le trafic.
Dans le cloud!

30. CRM dans le cloud
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 22Événement cybersécurité
A l’aide de ses outils standards, l’administrateur de l’hyperviseur peut facilement:
1. Détecter une connexion SSL/TLS entrante
2. Faire un «dump» de la mémoire de la machine virtuelle du CRM
A l’aide d’un peu d’automatisation il peut:
3. Récupérer la clé privée SSL du dump de la mémoire
4. Déchiffrer le trafic et obtenir les données en clair en temps réel!
Si les données étaient chiffrées
directement depuis le poste de l’utilisateur
puis stockées de la même façon dans le
cloud, cette attaque n’aurait pas d’impact!
L’occasion fait le
larron! Si la
possibilité existe, le
risque également!

31. 10 Basic Cybersecurity Measures
CHECKLIST
■ Maintain an Accurate Inventory of Control System Devices and Eliminate Any
Exposure of this Equipment to External Networks
■ Implement Network Segmentation and Apply Firewalls
■ Use Secure Remote Access Methods
■ Establish Role-Based Access Controls and Implement System Logging
■ Use Only Strong Passwords, Change Default Passwords, and Consider Other
Access Controls
■ Maintain Awareness of Vulnerabilities and Implement Necessary Patches and
Updates
■ Develop and Enforce Policies on Mobile Devices
■ Implement an Employee Cybersecurity Training Program
■ Involve Executives in Cybersecurity
■ Implement Measures for Detecting Compromises and Develop a Cybersecurity
Incident Response Plan
| 06.09.2016 | 23Événement cybersécurité
Source: https://ics-cert.us-cert.gov

32. 10 Basic Cybersecurity Measures
CHECKLIST
| 06.09.2016 | 23Événement cybersécurité
Source: https://www.bsi.bund.de

33. Souvenez-vous ! Un adversaire attaque toujours à deux occasions:
CONNAITRE SON ADVERSAIRE
Lorsqu’il est prêt.
Lorsque vous ne l’êtes pas.
| 06.09.2016 | 24Événement cybersécurité
Source https://twitter.com/thegrugq

34. ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11
ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11
www.elca.ch
Contact
Thank you.
| © ELCA
Sébastien Bischof
| 06.09.2016 | 25Événement cybersécurité
IT Security Expert
Sebastien.bischof@elca.ch
+41 21 613 22 80
Grégory Ruch
IT Security Expert
Gregory.ruch@elca.ch
+41 21 613 22 69