Présentation de François Buntschu, Professeur en Réseaux et Sécurité des réseaux, Ecole d'ingénieurs et d'architectes de Fribourg et Pascal Gloor, Senior Network Security Engineer, Dreamlab lors de la conférence First du 26 août au Centre Paroissial l'Avenir à Delémont sur le thème de la sécurité informatique des utilisateurs privés et professionnels en Suisse

1. Jura Security Days 2011
François Buntschu
Pascal Gloor

2. Agenda
1. Présentation du NetObservatory
2. Quel sécurité pour nos PME ?
Surface d’attaque de l’Internet Suisse –
situtation actuelle
3. Conclusions

3. Une entreprise typique
Intranet Publications
e-commerce
http://www.entreprise.ch
Serveur DNS
entreprise.ch L’entreprise Serveur de
messagerie
Accès au Réseau
employe@entreprise.ch
Une entreprise dispose, avec la possession d’un nom de domaine
Internet, d’une foule de services qui lui permettent d’utiliser Internet en
tant qu’outil de communication et de production de valeurs ajoutées.

4. Qu’est-ce que le NetObservatory ?
• Un observatoire de l’Internet Suisse pour les PME qui réunit
les spécialistes de la sécurité informatique
 Mesure de la surface d’attaque
 Offrir aux PME ce que MELANI offre aux services de
la Confédération et entreprises stratégiques du
pays
• Un projet financé dans le cadre de la NPR (Nouvelle Politique
Régionale) du canton de Fribourg

5. Le 29 novembre 2009 au soir
Votation sur les minarets:
•Plusieurs sites suisses
défacés
(1ère page modifiée)

6. La surface d’attaque
Fenêtres
Entrées incassables
latérales
Portes automatique,
Système fermé
serrure high-tech
de caméra

7. La surface d’attaque (2)
Une entreprise offre depuis l’Internet public une surface d’interactions
plus ou moins grande.
Toute vulnérabilité ou «porte ouverte» augmente la surface d’attaque!

8. Derniers Résultats (NORA)
2ème trimestre 2011

9. Méthodes
• Récolte de données :
– Recherches dans des bases publiques (whois, dns)
– Requêtes simples des services standards (www,
e-mail) de tous les domaines suisses.
• Anonymisation des données récoltées

10. Données collectées (Q2 2011)
• Nous collectons et analysons en permanence :
Types d’informations : Etat :
Noms de domaine (.ch) - Plus de 1.3 millions
- En propriété de 605’290 personnes
ou entreprises
Sites web - 724’145 sites web
- Répartis sur 76’173 serveurs
Messagerie - 48’266 serveurs de messageries
Serveurs de noms - 32’869 serveurs DNS
(pour la résolution de noms)

11. Répartition des domaines .ch
2.3 DOMAIN NAMES
2.3.1 Domain names distribution
• Par canton et habitant (1 habitant sur 6 possède un
Legend
domaine) above shows the distribution of CH domain names among the population, split
The figure
 Presque uniformethe canton. names usage based on the geographic region
by cantons. The result is a CH domain
independently of the size of
Analysis

12. 2.3.2 Répartition des domaines .ch
Top 10 domain names holders
0.7%
0.36%
0.35%
Détenteurs
0.33%
0.17%
0.14%
0.13%
0.1%
0.09%
0.09%
0.0% 0.1% 0.2% 0.3% 0.4% 0.5% 0.6%
Legend  Pas de détenteurs dominants
 Changements minimes depuis décembre 2010
The figure above shows the top 10 domain names holders. The result is shown in percent
of the total number of registered CH domain names. These companies or individuals have
acquired the most CH domain names.
Analysis

13. 2.4 WEB SERVERS
Répartition des serveurs web .ch
2.4.1 Top 10 ASN by number of hosted web sites
ASN−METANET
HOSTPOINT−AS
SWISSCOM
Infomaniak−AS
GREEN
ASN−GENOTEC
WEBLAND−AS
CABLECOM
CYON
VTX−NETWORK
0 50,000 100,000 150,000
• Par réseaux (AS, Autonomous System)
Legend
 Pas d'hébergeurs dominants
Top 10 network operator names sorted by number of web sites hosted under their IP
addresses. This does minimes depuis décembre 2010
 Changements not mean that they directly host those sites; a hosting provider can
be customer of those network operators for their Internet access.
Analysis
The only really relevant information shown here, apart from the company names, is that

14. Serveurs Web, données collectées
Contenu
Gestionnaire Joomla Wordpress osCommerce
de contenu
(CMS) Typo3 Drupal
Apache nginx IIS lighthttpd
Serveur Web
Squid Lotus IBM
Système Linux Windows 2008
Windows 7
d’exploitation
OSX Windows XP

15. Répartition des serveurs web .ch
Apache 78%
Microsoft IIS 14%
nginx
MiniServ
lighttpd
Lotus Domino httpd
Zope
Squid webproxy
IBM HTTP Server
DirectAdmin httpd
others
0% 20% 40% 60%
• Par logiciel du serveur web
 Apache domine le marché suisse encore plus qu'à l'étranger
 Risques en cas de problème Apache
 Changements minimes depuis décembre 2010

16. Qualité des sites sécurisés (HTTPS)
Déc. 2010
dsa
md5 12%
sha1 88%
sha256
Juin 2011
sha512
0% 20% 40% 60% 80%
• Distribution des algorithmes de hashage (identification
d’un certificat)
 12% des sites utilisent encore MD5, en diminution grâce
au processus de renouvellement des certificats
 Lacunes connues depuis 2008

17. Vulnérabilités des serveurs Web
Déc. 2010
vulnerable 56%
unknown 43% JJuin 2011
not vulnerable
0% 10% 20% 30% 40% 50%
• Apache (données Microsoft pas disponibles)
 La moitié des serveurs Apache ont des vulnérabilités
documentées!
 Changements minimes depuis décembre 2010

18. Répartition des CMS (Content Management System)
Déc. 2010
Joomla 38%
TYPO3 29%
WordPress 15%
Drupal 4%
Contao
CMS Made Simple
xtCommerce Juin 2011
osCommerce
Magento
Plone
0% 5% 10% 15% 20% 25% 30% 35%
• Par type
 Joomla, Typo3 et Wordpress représentent
plus de 80% de part de marché

19. 3.2.4 Timeline a WordPress release
3.2.4 Wordpress dans le temps…
Timeline a WordPress release 100%
Number of WordPress CMS
100% 80%
Version installed
Number of WordPress CMS
80% 60%
<3
Version installed < 3.0.4
60% 40% >= 3.0.4
<3
< 3.0.4 >= 3.1
40% 20%
>= 3.0.4
>= 3.1
20% 0%
2010/12/30 2011/01/24 2011/03/30 2011/06/25
Date
0%
2010/12/30 2011/01/24 2011/03/30 2011/06/25
Date
14000
Number of WordPress CMS
12000
14000
10000 Version installed
Number of WordPress CMS
12000 <3
8000
Version installed < 3.0.4
10000
6000 <3 >= 3.0.4
8000 >= 3.1
4000 < 3.0.4
6000 >= 3.0.4
2000
>= 3.1
4000
0
2000
2010/12/30 2011/01/24 2011/03/30 2011/06/25
0
Date
2010/12/30 2011/01/24 2011/03/30
Legend 2011/06/25
Date
th

20. Vulnérabilité des CMS
Déc. 2010
3.2.3 Updated releases of WordPress and TYPO3
4
3% Juin 2011
w ps
o r s
r e
d
5
7% Status
u ad
pt
de
1
5%
tp
y3
o n u ad
opt
t de
8
5%
0
% 2
0% 4
0% 6
0% 8
0%
 85% des Typo3 ne sont pas à jour, 57% de
Legend
Wordpress non plus, soit plus de 30’000 sites !
Comparison of used software versions. This graphic shows the amount of web sites
running CMS versions known to have security issues compared to the ones being up-to-
date.
Analysis
This is one of the most shocking results of the project. 96% of the TYPO3 versions actually

21. Protocol,! is! slowly! but! surely! reaching! its! limitation;! the! maximum! number! of!
simultaneous! computers! connected! to! the! Internet.! Projections! show! that! IPv4! will!
reach!its!limit!between!2011!and!2012.!!
IPv6
5.2 IPV6 RELATIONS
4.2.1 IPv6'adoption'in'standard'DNS'entries'
! IPv6 is the Internet Protocol version 6. It exists for over 10 years and its usage was very
! low, if not only experimental, until recently. IPv4, the current and globally used Internet
Protocol, is slowly but surely reaching its limitation; the maximum number of simultaneous
W WA
W
computers connected to the Internet. The IANA (Internet Assigned Numbers Authority) pool
97
%
is now exhausted and also the APNIC (responsible to delegate IP addresses IP Version /
in the Asia Déc. 2010
9%
Pacific region) pool is exhausted. The European registry, RIPE, expects its pool to hold for
NS
91
% Iv
P 6
another 6 to 9 months. Adoption of the new IPv6 protocol is urgent, especially for service
and access providers. Iv
P 4
M
X
9
9%
5.2.1 IPv6 adoption in standard DNS entries
0
% 2
0% 4
0% 6
0% 8
0%
4
%
m
x
7
0%
!Juin 2011
IP Version
Legend' a 6
9
0%
4
Percentage!of!domain!names!having!also!an!IPv6!record!for!standard!DNS!entries.!
22%
n
s
1%
00
Analysis'
0
% 2
0% 4
0% 6
0% 8
0%
Almost!10%!of!the!domains!have!DNS!servers!reachable!in!IPv6.!Mail!and!web!records!
• Migration, configuration de IPv6 suite à la pénurie des
are! almost! inexistent.! Further! analysis! and! historical! data! will! be! shown! in! the!
Legend
automated!reports!to!follow!the!progression!of!IPv6.!
adresses IPv4
Percentage of domain names having an IPv4 and/or an IPv6 record for standard DNS
! entries.
!  Augmentation
Analysis considérable suite à l’implémentation d’IPv6
par deux hosters (Hostpoint et Infomaniak)
22% of the domains have DNS servers reachable in IPv6. Mail and web records are almost
inexistent. Further analysis and historical data will be shown in the automated reports to
follow the progression of IPv6.
Differences since Q1 2011 report

22. Business Development

23. Business Development
• Création d’un institut NetObservatory
• Focalisation sur la sécurité de l’Internet
Suisse
– Rapports réguliers
– Produits pour les PME
– Education & Information

24. Conclusions
o L’Internet est toujours plus agressif
o La Confédération et les services critiques disposent
d’une centrale de surveillance et d’alerte
o Les PME sont livrées à elles-mêmes et ne disposent
pas des compétences techniques nécessaires
 NetObservatory va combler cette lacune et
offrir des prestations uniques aux PME Suisses

25. Merci de votre attention