2. Geeks
Anonymes
LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
« Le système d'information représente un patrimoine essentiel de
l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les ressources
matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu »
(http://www.clusif.asso.fr)
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
3. Responsable IT dans
une petite structure ... ?
“développeur”
admin réseau
scripts
réseau
parc machines
responsable
sécurité IT
Geek needed ?
analyse de
risques
e
nc
na
te
ain
m
users
et” s
pc, mac, linux
me proj ce
ti e
d sour
helpdesk
OSes
ef res
“ch
brancher les PCs ...
admin système
et que sais-je encore ...
(c) Pierre-Olivier Bourge 2013
4. La
sécurité
?
pour
les
autres
?
Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
5. La
sécurité
informa3que
?
“ 60 % des cas sont liés à de l’espionnage industriel ! ”
Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013)
Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf
100% security is neither feasible nor the
appropriate goal
(Source : KPMG.nl)
Cyber security will never be “solved” but will be “managed”
(Source : Ravi Sandhu - UTSA Institute for Cyber Security)
(c) Pierre-Olivier Bourge 2013
6. La
sécurité
?
faut-‐il
être
parano
pour
autant
?
véridique !
Van Eck phreaking
non
...
mais
ne
soyez
pas
naïf
!
10. Encore faut-il savoir ce que l’on a à protéger ...
Sécurité Informatique
Disponibilité
Confidentialité
Intégrité
Force probante
Control,
monitor,
and
log
all
access
to
protected
assets
Hardware
Software
Humain
Environnement
99% of the attacks are thwarted by basic hygiene
and some luck
1% of the attacks are difficult and expensive to
defend or detect
(c) Pierre-Olivier Bourge 2013
11. S’assurer
que
tout
changement
du
système
ne
reme4e
pas
en
cause
les
mesures
de
sécurité
établies
pour
protéger
le
patrimoine
Sécurité Informatique
Hardware
Software
Humain
Environnement
Disponibilité
Confidentialité
Intégrité
Force probante
Patriot Act
Cloud
Hardware : budget ?
Software : budget ?
Humain : ressources & aware ?
Environnement : menaces, risques ?
(c) Pierre-Olivier Bourge 2013
12. Effective cyber security is less dependent
on technology than you think
(KPMG.nl)
Sécurité Informatique
maillon le plus
faible !
Hardware
Software
Humain
Environnement
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware : budget ?
Software : budget ?
Humain : ressources & aware ?
Environnement : menaces, risques ?
(c) Pierre-Olivier Bourge 2013
13. Sécurité IT
• Où / quels sont les risques ?
Vulnerability = leaving your car unlocked
peu importe
Exposure = thief identifies this and opens
the door.
Risk factor will increase if either factor is
changed
(e.g.. you left your car door unlocked,
with the keys inside, or you leave your
car unattended in a public parking lot vs.
your home garage.)
Types
de
risques
Risk = Vulnerability * Exposure - Security
14. Sécurité IT
• Où / quels sont les risques ?
peu importe
Décider :
1) ce qu’il y a à protéger
2) de quoi ?
3) comment ?
Mode : sécurité par
défaut
Types
de
risques
Risk = Vulnerability * Exposure - Security
15. Types
de
risques
Bâtiment, bureaux, armoires,
câbles, ...
port USB : vol de données ?
(juice jacking)
BYOD = BYOD
17. Sécurité physique :
Chiffrement (“cryptage”)
• Mac OS X : File Vault 2
• Toutes plateformes : TrueCrypt
www.truecrypt.org
HD ou contenant ...
• Windows : No, No, No !
• Attention à la gestion de la clef !
Types
de
risques
:
“physique”
...
(c) Pierre-Olivier Bourge 2013
19. Sécurité physique :
Effacement sécurisé
• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm, Wipe, etc.
• Windows : utilitaires
Cf. Eraser, CCleaner, SDelete, Piriform,
etc.
Types
de
risques
:
“après”
...
(c) Pierre-Olivier Bourge 2013
22. Types
de
risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
(hardware, software)
• Connexions entrantes
s
+ sortantes,
• plusieurs routeurs / parefeux
en série (différentes configurations)
• plusieurs réseaux (services)
“déconnectés”
(compartmentalization, Cf. SCADA)
• connexion externe : “min”
• DMZ, IDS, etc.
23. Types
de
risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav,
VirusBarrier, Sophos, Avira,
McAfee, Avast!, ...
A5en6on
!
On
ne
joue
pas
!
24. Types
de
risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
access rights (users &
machines), security logs, ...
• No root !
• user is not admin
• “least privilege”
• BYOD = services, ports,
accès, ... : à fermer
• serveurs virtuels
• Security Onion
25. Types
de
risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
Vous !
humain = le plus difficile
car le plus imprévisible
26. Vous = humain
• Sensibilisation / éducation
★
dangers / risques
★
mots de passe
★
comportement
✦
! pas uniquement IT
e.g. : 5 lettres ou 2 mots du
dictionnaire accolés
27. Humain
• Sensibilisation / éducation
★
dangers / risques
★
mots de passe
★
comportement
✦
Sensibilisations
! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
28. Humain
• Sensibilisation / éducation
Sensibilisations
★
dangers / risques
•
•
★
mots de passe
•
★
comportement
✦
! pas uniquement IT
•
informations sensibles
apprendre à identifier
les risques communs
que faire ? comment
gérer les informations
sensibles ?
changement de
comportement
(c) Pierre-Olivier Bourge 2013
29. Humain
• Sensibilisation / éducation
★
dangers / risques
★
mots de passe
★
comportement
✦
! pas uniquement IT
Sensibilisations
•
•
•
•
•
“a password is the first
gateway to security
breaches”
types d’attaques
communes
comment générer un
bon mot de passe
comment retenir ses
mots de passe ?
le BYOD = BYOD
(c) Pierre-Olivier Bourge 2013
30. Confidentialité
Mots de passe
Complexité / Changement régulier
Plusieurs !
idéalement un et un seul pour chaque usage
un mot de passe hacké est une faille !
... et s’il donne accès à tout ...
Non accessible par ailleurs !
31. Comment
mémoriser
?
Comment mémoriser de manière sécurisée ?
1) fichier ou partition cryptés
règle : avoir un bon mot de passe principal
avoir une bonne encryption du fichier
ou de la partition
le fichier ou la partition contiennent en clair
tous les autres mots de passe
2) outil Norton (ou Keychain Access sur Mac)
(c) Pierre-Olivier Bourge 2013
32. Types
d’aCaques
sur
les
mots
de
passe
Attaques : où est le problème ?
1) problème n’est pas tellement à l’identification lors
d’une connexion si
• protocole : sécurisé
• parefeu et services : bien configurés => bloqué
2) problème est plutôt :
• hacker : faille, accès aux clefs/mots de passe sécurisés ?
• combien de temps pour les casser ?
Petite leçon sur le stockage
(hachage) des mots de passe
dans les ordinateurs
(c) Pierre-Olivier Bourge 2013
33. Stockage
mots
de
passe
Hash
hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512,
RIPEMD, Whirpool, etc.
(c) Pierre-Olivier Bourge 2013
34. 1) par force brute
Types
d’aCaques
sur
les
mots
de
passe
teste toutes les combinaisons
[exemple : HpAhTbd6nWx6cCDK]
parade : augmenter la longueur du mot de passe (> 8 !)
2) par dictionnaire
teste les noms communs ou propres, ou les mots de passe les plus courants
[exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...]
parade : éviter les noms communs ou propres, les mots avec un sens
courant
3) par substitution ou insertion
teste des noms substitués ou insérés
[exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...]
parade : éviter les substitutions et les insertions à partir de noms ou de
mots courants
4) par séquence ou inversion de séquences
teste par les séries de chiffres, de caractères
[exemple : 123456, abc123, drow (word), ...]
parade : à éviter absolument
(c) Pierre-Olivier Bourge 2013
35. ACaques
(force
brute)
Mots de passe (exemples) :
Temps maximum pour
casser (en force brute)
4031
carre
instantané !
1/100ème seconde !
Picarré
3 minutes
hzs!Y%2v
6 heures
8 caractères aléatoires (Windows XP) en 6 heures pour un hacker !
Constante évolution : Hz , CPU => GPU
et c’est même pire ... : e.g. tables arc-en-ciel, etc.
(c) Pierre-Olivier Bourge 2013
36. News
NSA
?
La
NSA
peut
décoder
tout
type
de
communica9on
chiffrée
?
Quelques
chiffres
de
puissance
de
calcul
à
l’heure
actuelle
...
CPUs
GFlops
X
8 alea (Windows)
Lenovo 2-Core
1
20 d
Mac 4-Core
7
2
10 d
Top 1-GPU
Hash
3
8
3
160 h
175
60
8h
600.000
200.000
9s
BOINC
10.000.000
3.300.000
0,5 s
Tianhe-2
35.000.000
11.000.000
0,1 s
Hacker 25-GPU
SETI
GFlops
days / hours / seconds
(c) Pierre-Olivier Bourge 2013
37. Types
d’aCaques
5) par séquence au clavier
teste des suites logiques au clavier
[exemple : azerty, azeswxc, vgyrgb, ...]
parade : éviter les substitutions à partir de noms
6) par répétition
teste les répétitions
[exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)]
parade : à éviter (n’apporte rien, augmente le signal dans l’encryption)
7) par ruse
vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe
[exemple : phishing (hameçonnage), attaque “sociale”, ...]
parade : vérifier votre connexion à un site sécurisé,
ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ...
8) par virus
un virus, ver, cheval de troie, etc. ouvre une faille dans le système
[exemple : un fichier corrompu, un programme piraté, keylogger, etc.]
parade : mettre à jour votre anti-virus (fait le reste)
éviter comportements à risque (téléchargements, phishing, etc.)
(c) Pierre-Olivier Bourge 2013
38. Types
d’aCaques
9) par ... etc.
attaques par
tables arc-en-ciels,
“temporelle”,
analyse statistiques,
surchiffrement,
man-in-the-middle,
etc.
parade :
the ability to learn is just as important as the
ability to monitor
(KPMG.nl)
(c) Pierre-Olivier Bourge 2013
39. En conclusion
• Sécurité
The security policy should primarily be
determined by your goals, not those of
your attackers
(KPMG.nl)
★
affaire de tous & pas que IT
★
technique + moi + les autres
★
humain : sensibilisation & éducation
★
vigilance, veille constante
★
évaluer les risques
★
pas parano ... mais pas naïf ...
(c) Pierre-Olivier Bourge 2013
40. Annexes
• Comment trouver un bon mot de passe
★
aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)
★
mnémotechnique (pseudo-aléatoire)
★
★
générateurs aléatoires (vrai = source de
bruit) : random.org
générateurs pseudo-aléatoires (algorithmes)
(c) Pierre-Olivier Bourge 2013
41. Types
de
mots
de
passe
Types
1) aléatoire brut
la meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5(
règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués
2) phrase mnémotechnique
pas loin de l’aléatoire brut lorsque suffisamment longue
exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp =>
1Udb.vélp (longueur > 8 OK)
règle : initiales des mots, insérer chiffres, ponctuations, etc.
(c) Pierre-Olivier Bourge 2013
42. Types
de
mots
de
passe
Types
3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri
NOK ! Attaque par dictionnaire et substitution
4) style SMS
trop variable : si très condensé OK si phrase longue mais sinon ... ?
Bof ! Attaque par dictionnaire et substitution
(c) Pierre-Olivier Bourge 2013
43. Types
Types
de
mots
de
passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M
=> Banque : BU1CA:evd2!a
OK à Bof ! Force brute puis décode tout facilement ...
Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8)
6) se méfier des sites non professionnels
exemple : le site références
Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ?
(c) Pierre-Olivier Bourge 2013