Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" Olivier PANTALEO, Président et Christophe KICIAK, Directeur associé Offensive security, Provadys - Diaporama
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama
1. Les techniques des pirates
etet
Christophe Kiciak
christophe.kiciak@provadys.com
Colloque – 7 Octobre 2015
La sécurité des systèmes d’information dans les établissements sanitaires et médico
Ministère des Affaires Sociales, de la Santé et des Droits des femmes
Les techniques des pirates
et comment s’en protégeret comment s’en protéger
Christophe Kiciak
christophe.kiciak@provadys.com
La sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux
Ministère des Affaires Sociales, de la Santé et des Droits des femmes
2. Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
3. Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
4. Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
5. Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
6. 42,8 millions de cyber-attaques ont été recensées dans le monde en 2014
Des chiffres
alarmants
42,8 millions de cyber attaques,
Une augmentation de 48
Le coût annuel moyen attribué
LES FAITS
Des conséquences
fortes
Des conséquences
fortes
Des cibles
diverses et
nouvelles
Le coût annuel moyen attribué
millions de dollars en 2014
Soit une croissance de 34
Une forte augmentation
(+41% en 2014)
attaques ont été recensées dans le monde en 2014
attaques, soit 117 339 attaques par jour
48% par rapport à l’année précédente
attribué aux incidents de sécurité atteint 2,7attribué aux incidents de sécurité atteint 2,7
2014
34% par rapport à 2013
des incidents de cyber-sécurité en Europe
Source: PwC 2014
7. Nos tests d’intrusion démentent souvent les
Discours
Nous utilisons de nombreux
équipements de sécurité !
PARADOXE
équipements de sécurité !
Nos logiciels sont régulièrement
mis à jour !
Nous avons des anti-virus !
Nos salariés sont sensibilisés aux
risques informatiques !
On n’a jamais été piraté,
pourquoi changer quoi que ce soit ?
Nos tests d’intrusion démentent souvent les discours
Faits constatés
lors de nos audits
Les tests d’intrusion sans restriction
quant au mode opératoire
parviennent à exfiltrer des
données sensibles 9 fois sur 10
Les méthodes d’attaques mises en
œuvre sont souvent basées sur
les mêmes principes… depuis 15
ans !
8. Le piratage, ça n’arrive qu’aux autres ! »
PREMIERES REACTIONS
Pourquoi cette différence entre apparences et réalité?
Nonchalance, laxisme, incrédulité
De manière générale, les entreprises les plus confiantes à l’égard du vol de données …
Le piratage, ça n’arrive qu’aux autres ! »
«
de sécurité, nous ne risquons pas grand
Notre personnel a été formé spécifiquement contre l’ingénierie sociale !
Confiance en l’efficacité des mesures
Cet état d’esprit joue en faveur des pirates !
Pourquoi cette différence entre apparences et réalité?
De manière générale, les entreprises les plus confiantes à l’égard du vol de données …
… sont les plus vulnérables!
Nous utilisons les meilleurs équipements
de sécurité, nous ne risquons pas grand-chose ! »
Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! »
Confiance aveugle en la technique
Cet état d’esprit joue en faveur des pirates !
9. Equipements
de sécurité
Leur simple présence ne suffit pas !
Sont-ils positionnés judicieusement ?
Sont-ils paramétrés relativement à votre environnement ?
Ont-ils des limitations intrinsèques ?
Comme chacun sait, l’humain reste souvent le maillon faible
LES ERREURS
Pourtant ces raisonnements semblent rationnels. Pourquoi sont
Sensibilisation
Nos serveurs
n’ont pas été
piratés
Comme chacun sait, l’humain reste souvent le maillon faible
Les campagnes de sensibilisation ont
Quelle population a été ciblée ? Qu’en est
C’est possible. Mais est
La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
Leur simple présence ne suffit pas !
ils positionnés judicieusement ?
ils paramétrés relativement à votre environnement ?
ils des limitations intrinsèques ?
Comme chacun sait, l’humain reste souvent le maillon faible
Pourtant ces raisonnements semblent rationnels. Pourquoi sont-ils erronés ?
Comme chacun sait, l’humain reste souvent le maillon faible
d’un SI.
Les campagnes de sensibilisation ont-elles été efficaces ?
Quelle population a été ciblée ? Qu’en est-il des nouveaux collaborateurs ?
C’est possible. Mais est-ce un indicateur si fiable que cela ?
La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
11. l est parfois plus simple de pirater le matériel
que le logiciel!
S’intercale entre le clavier et
l’unité centrale
Enregistre toutes les frappes
clavier (mots de passe
notamment)
Existe en version WiFi, pour
Si un équipement
de ce type
définition piratable
Ce type de
accès direct
l’équipement
FAIBLESSES DU MATERIEL
Keylogger physique Firewire
Existe en version WiFi, pour
exfiltrer les données aisément
A la portée de n’importe qui !
(coût : quelques dizaines
d’euros)
l’équipement
mots de passe
Matériel peu
câble), attaque
complexe
spécialisés expérimentaux)
#10l est parfois plus simple de pirater le matériel
équipement est pourvu
de port, il est par
piratable !
de port permet un
direct à la mémoire de
l’équipement => accès aux
Tous les systèmes autorisent la
connexion en USB de certains
équipements, sans aucune
demande de confirmation
(clavier, souris, carte réseau,
etc.)
Il est par exemple possible de
Firewire BadUSB
l’équipement => accès aux
passe
peu coûteux (un
attaque relativement
(logiciels
expérimentaux)
Il est par exemple possible de
créer une souris, qui en fait se
fera passer pour un clavier
auprès du système.
Des commandes malveillantes
seront alors exécutées sur la
machine, pour la pirater.
12. Attaquer le matériel est souvent très efficace…
Pourquoi s’embêter
à contourner des protections complexes,
si on peut attaquer ce qui n’est pas protégé du tout
Problème de confiance au matériel
FAIBLESSES DU MATERIEL
?
Les logiciels n’ont souvent pas d’autre choix
que de faire confiance au matériel
Seuls certains protocoles précis utilisent des
mécaniques spécifiques pour empêcher ce
type d’attaques
Néanmoins, de nombreux protocoles
historiques (USB…) en sont exempts
Attaquer le matériel est souvent très efficace…
Indétectable & imparable !
#10
Les exemples énoncés ici sont les plus
connus. D’autres attaques basées sur le
même principe existent.
Elles ne sont pas détectables sans matériel
particulier, et ne peuvent pas facilement être
bloquées (à moins de mettre en œuvre un
paramétrage très contraignant)
Par conséquent, la paranoïa est de mise :
n’acceptez aucun cadeau informatique! (clefs
USB, souris, haut-parleur externe, etc.)
13. Les erreurs courantes
Accès au matériel informatique
Nota beneFAIBLESSES DU MATERIEL
A RETENIR
Accès au matériel informatique
par des inconnus / externes
Branchement de matériel
personnel
Matériel d’origine externe (clé
USB, chargeur, téléphone, etc.)
Les bons réflexes
Contrôle d’accès systématique :
clé, badge, biométrique, …
Si ce n’est pas possible, le
#10
Si ce n’est pas possible, le
matériel doit être au minimum
verrouillé (authentification
nécessaire avant utilisation)
Sensibilisation des utilisateurs
Ecriture et respect d’une charte
informatique
14. Exemple : le chiffrement des données
es données informatiques sont précieuses : métaphore du bijoux
CRYPTOGRAPHIE MAL UTILISEE
Les bijoux précieux sont
souvent stockés dans
des coffres forts
Ces coffres rendent le
vol beaucoup plus
difficile
Malheureusement, un serveur informatique
le coffre doit donc rester
Exemple : le chiffrement des données
précieuses : métaphore du bijoux
#9
Problème : le coffre-fort n’offre
plus aucune sécurité dès lors queplus aucune sécurité dès lors que
l’on souhaite porter ses bijoux !
serveur informatique se sert en permanence des données :
rester ouvert !
15. Les erreurs courantes
CRYPTOGRAPHIE MAL UTILISEE
Sentiment de sécurité lié au
jargon ou aux discours
commerciaux
A RETENIR
Pas de chiffrement d’un
périphérique nomade
Chiffrement appliqué au mauvais
endroit, ou partiellement
Chiffrement totalement
transparent pour l’utilisateur
Les bons réflexes
#9
Mise en doute systématique de la
sécurité : demande des
certifications, audits, etc.
Chiffrement total des supports
susceptibles d’être perdus / volés
/ accédés
Chiffrement nécessitant une
authentification (passphrase, ou
mieux, TPM)
16. Les applications que vous utilisez quotidiennement
se présentent sous diverses formes
Application Web / Client léger
• Technologie très classique
• Technologie très connue
MAUVAISE ARCHITECTURE APPLICATIVE
• Technologie très connue
• Interopérabilité maximale (navigateurs
standards)
• Ergonomie parfois peu adaptée aux
impératifs métiers (point en amélioration)
• Vulnérable à des attaques classiques (e.g.
Top 10 OWASP)
Selon vous, quelle famille d’applications offre habituellement le
meilleur niveau de sécurité ?
Les applications que vous utilisez quotidiennement
Client lourd
• Technologie souvent propriétaire
#8
• Logiciels / Progiciels souvent peu connus
de la communauté des hackers
• Ergonomie au plus près des impératifs
métiers
• Attaques moins populaires / moins
documentées
Selon vous, quelle famille d’applications offre habituellement le
meilleur niveau de sécurité ?
17. Posons la question différemment…
Vous partez en vacances.
Afin de nourrir vos animaux de compagnie durant votre
absence :
MAUVAISE ARCHITECTURE APPLICATIVE
Ex.
A.
B.
C.
Vous laissez un double des clefs à vos parents
Vous laissez un double des clefs au voisin
Vous laissez vos clefs sous le paillasson : quelqu’un finira
bien par les nourrir
De nombreuses établissements et entreprises
répondent « C »!
Vous partez en vacances.
Afin de nourrir vos animaux de compagnie durant votre
#8
Vous laissez un double des clefs à vos parents
Vous laissez un double des clefs au voisin
Vous laissez vos clefs sous le paillasson : quelqu’un finira
Il est naturel de rendre vos clefs les plus
inaccessibles possibles aux éventuels voleurs.
Il en va de même en informatique !
18. Architecture n
Clients web
Web services
Le tiers web
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Ce type d’architecture a de nombreux avantages, dont celui de positionner les
données plus loin du pirate
Web services
Clients lourds
Côté client
Architecture n-tiers typique
Le tiers
ressource
(EIS)
Le tiers
ressource
#8Ne jamais oublier : l’important, c’est la donnée !
Ce type d’architecture a de nombreux avantages, dont celui de positionner les
plus loin du pirate
Le tiers du
milieu
(EIS)
Côté serveur
Web services
Le tiers du milieu
ressource
(Les données)
19. MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Architecture 2-tiers «
Malheureusement, de nombreuses applications métier
pas cette considération en compte
Client lourd
Côté client
Le tiers
ressourceLe tiers
#8Ne jamais oublier : l’important, c’est la donnée !
tiers « client-serveur »
applications métier ne prennent
pas cette considération en compte !
(EIS)
Côté serveur
Le tiers
ressource
(Les données)
20. Si le client lourd a utilisé un secret, il est probablement dans sa
Il est très facile de lire la mémoire d’un processus lancé sur sa propre machine
MAUVAISE ARCHITECTURE APPLICATIVE
Dans les architectures client-serveur, la sécurité est souvent
Si le client lourd a utilisé un secret, il est probablement dans sa mémoire
est très facile de lire la mémoire d’un processus lancé sur sa propre machine
Exemples typiques d’éléments récoltés
de cette manière :
Exemples typiques d’éléments récoltés
de cette manière :
#8serveur, la sécurité est souvent…
…du mauvais côté !
de cette manière :
• Mot de passe « maître » de la base
de données
• Identifiants / Mots de passe d’autres
utilisateurs
• Comptes de service
• Clefs de chiffrement
• Autres éléments « secrets » divers
de cette manière :
• Mot de passe « maître » de la base
de données
• Identifiants / Mots de passe d’autres
utilisateurs
• Comptes de service
• Clefs de chiffrement
• Autres éléments « secrets » divers
21. Ici, connexion directe à une base de donnée (Oracle
MAUVAISE ARCHITECTURE APPLICATIVE
Avec ces éléments secrets, voler les données
devient très simple
Ici, connexion directe à une base de donnée (Oracle) au moyen d’un compte volé en mémoire :
Il est également parfois possible de
modifier le logiciel lui-même :
#8Avec ces éléments secrets, voler les données
• Modification du comportement du
logiciel (débridage de l’interface,
accès aux menus administrateur, etc.)
• Contournement de l’authentification
• Ajout d’un cheval de Troie dans le
logiciel
• Etc.
22. Les erreurs courantes
Confiance dans les technologies
et logiciels moins connus /
documentés
MAUVAISE ARCHITECTURE APPLICATIVE
A RETENIR
documentés
Confiance dans le discours
marketing de l’éditeur logiciel
Développement de logiciels
« maison » traitant des données
sensibles
Les bons réflexes
Suivi des bonnes pratique de
développement
#8
Audit par un organisme
indépendant
Implication d’un expert sécurité
dans le développement
23. MAUVAISE GESTION DES PRIVILÈGES
Supposons que le Président de la République…
…se promène en scooter avec le bouton nucléaire
sous le bras.
iliser un compte administrateur,
est aider le pirate s’il parvient à
ous faire exécuter un malware
Faire tourner un service réseau en
« root »,
c’est donner les clefs de l’Entreprise à
la première faille publique l’affectant
Profil Utilisateur Services informatiques
Bien évidemment, une telle situation créerait un tollé général.
Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
#7
…se promène en scooter avec le bouton nucléaire
sous le bras. « With great power com
great responsibilit
(Uncle B
tourner un service réseau en
»,
donner les clefs de l’Entreprise à
la première faille publique l’affectant
Utiliser un compte DBA pour une
application web, c’est fournir une
belle porte d’entrée aux pirates
vers le réseau interne
informatiques Bases de données
Bien évidemment, une telle situation créerait un tollé général.
Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
24. Les erreurs courantes
Utilisation de comptes privilégiés
(Administrateur, root, etc.)
MAUVAISE GESTION DES PRIVILÈGES
A RETENIR
(Administrateur, root, etc.)
Partages et droits d’accès
permissifs (Tout le monde peut
lire/modifier)
Les bons réflexes
Utilisation systématique des
privilèges minimums
#7
privilèges minimums
Accès autorisé aux données
uniquement pour les personnes
en ayant besoin
25. Les plus souvent, les équipements et systèmes ne
sont pas finement configurés
Exemple d’un équipement en vogue : le Web Application
MAUVAISES CONFIGURATIONS
Par défaut, les équipements ou logiciels dédiés à la
Faille de
l’application
web
Protection
par défaut ?
Protection
par défaut ?
En entrant directement
l’URL des fonctions
d’administration, il est
possible pour un utilisateur
classique d’y accéder
Non
le WAF n’a aucun moyen de
connaître quelle page doit
être réservée à quel rôle
En utilisant habilement le
moteur de recherche du site
institutionnel, il est possible
d’afficher des données
le WAF n’a aucun moyen de
distinguer l’information
confidentielle du reste
Les plus souvent, les équipements et systèmes ne
Exemple d’un équipement en vogue : le Web Application Firewall (WAF)
#6
équipements ou logiciels dédiés à la sécurité…
… offrent rarement une protection optimale.
En utilisant habilement le
moteur de recherche du site
institutionnel, il est possible
d’afficher des données
internes au groupe
Non
le WAF n’a aucun moyen de
distinguer l’information
confidentielle du reste
En changeant la valeur d’un
paramètre dans l’URL (ex:
« ID=1234 »), il est
possible de lire les données
des autres utilisateurs
Non
le WAF n’a aucun moyen de
savoir que telle donnée est
réservée à tel utilisateur
26. D’autres cas malheureusement communs ne sont
pas protégés par les WAF
Cas réels :
MAUVAISES CONFIGURATIONS
1
Etourderies, oublis, mesures temporaires, test…
Utilisation du moteur de recherche sur le site
institutionnel (mot clef = admin). Mot de passe
retourné ! Piratage de tout le SI, des milliers de
comptes personnels accessibles.
Oubli d’une interface d’administration sur une
machine (login = mot de passe). Accès en « live »
à toute la base client (plusieurs dizaines de
milliers)
Tout le monde commet des erreurs : c’est pour cela que les
phases de contrôle systématiques sont indispensables
1
2
D’autres cas malheureusement communs ne sont
Identification d’une machine de développeur
accessible depuis Internet : tous les codes sources
de toutes les applications du groupe en libre
#6
3
test…
… Autant d’invitations au vol des données !
de toutes les applications du groupe en libre
service ! Dans ce code source, présence de mots
de passe permettant la prise de contrôle de tout
le SI du groupe.
Site vitrine Français bien sécurisé, mais…
l’équivalent pour l’Asie truffé de failles. Prise de
contrôle du serveur asiatique, qui se trouve être
relié au réseau interne de tout le groupe. Accès à
des milliers de comptes.
Tout le monde commet des erreurs : c’est pour cela que les
phases de contrôle systématiques sont indispensables
4
27. Parfois, la situation est même pire : pas de
sécurité en plus, mais… de la sécurité en moins !
Ex: Lotus Domino (messagerie
de type webmail)
MAUVAISES CONFIGURATIONS
Certains logiciels sont vulnérables à des
Tout utilisateur peut consulter
l’annuaire
Celui-ci divulgue par défaut les mots de
passe (hashés) de tous les utilisateurs
Accéder à de nombreuses boîtes mail
est alors aisé !
Ajuster les configurations finement est fastidieux
Néanmoins, c’est une étape impérative, souvent négligée
Parfois, la situation est même pire : pas de
la sécurité en moins !
#6
Certains logiciels sont vulnérables à des attaques très célèbres par défaut
Ajuster les configurations finement est fastidieux
Néanmoins, c’est une étape impérative, souvent négligée
28. Les erreurs courantes
Configuration par défaut (ex :
mot de passe du fabricant
inchangé)
MAUVAISES CONFIGURATIONS
A RETENIR
inchangé)
Méconnaissance des
fonctionnalités disponibles /
activées
Les bons réflexes
Revue et durcissement
systématique de la configuration
#6
systématique de la configuration
Demande d’information au
fournisseur et/ou à l’installateur
Désactivation des fonctionnalités
non utilisées
Utilisation de référentiels /
guides de sécurité
29. Pas de sécurité sans un solide système d’authentification… et
pourtant, tellement de failles !
Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions
AUTHENTIFICATION DEFAILLANTE
Constat
Résultat
Les utilisateurs détestent
les mots de passe
Ils utilisent des mots de
passe simples
Ils les stockent n’importe
comment
Les informaticiens ne les
aiment pas non plus !
Nos tests montrent que
de nombreux services
utilisent les mots de
passe
(Welogic
Pas de sécurité sans un solide système d’authentification… et
Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions
#5
Les informaticiens ne les
aiment pas non plus !
Nos tests montrent que
de nombreux services
utilisent les mots de
passe par défaut !
Welogic, Oracle, Tomcat,
etc.)
Et même avec un mot de
passe solide…
… Il faut s’en servir pour
accéder aux données. Se
servir d’un mot de passe,
c’est l’exposer
momentanément.
30. • Bases de données
(par défaut)
• HTTP
• LM / NTLM
Attaque WPAD
Historique
Chiffrement
inexistant/défaillant
AUTHENTIFICATION DEFAILLANTE
De plus, certains protocoles n’utilisent pas d’authentification
du tout, ou encore une authentification non sûre
• HTTP
• Telnet (1969 !)
• FTP
• NIS / NFS
• Attaque WPAD
• Attaque SAMBA
• Pass-the-Hash
Tous ces sigles vous sont peut
En effet, malgré leur sécurité parfois nulle
monde entier !
NTLM / NTLM v2
WPAD
• DNS
DHCP
Historique Pré-Historique
#5De plus, certains protocoles n’utilisent pas d’authentification
encore une authentification non sûre
WPAD
SAMBA
Hash
• DHCP
• ARP
• BGP
Tous ces sigles vous sont peut-être familiers…
parfois nulle, ils restent très employés, parfois par le
monde entier !
31. Les erreurs courantes
Absence d’authentification
AUTHENTIFICATION DEFAILLANTE
A RETENIR
Mot de passes faibles (voire
triviaux)
Mots de passe par défaut
Stockage des mots de passe dans
un fichier en clair et/ou mal
protégé
Les bons réflexes
Authentification systématique
Authentification forte (carte à
puce, biométrie) si possible
#5
Utilisation de phrases (avec
chiffres et symboles) ou d’un outil
spécialisé
Changement systématique des
mots de passe
puce, biométrie) si possible
Utilisation d’un outil spécialisé de
gestion des mots de passe
32. Failles applicatives ?
Glissement des attaques systèmes
vers des attaques applicatives
Les réseaux sont de plus en plus
APPLICATION WEB MAL SECURISEES
Sécuriser une application web : un vrai défi !
« 75% des attaques sur le web exploitent
les vulnérabilités des applications
Les réseaux sont de plus en plus
sécurisés
Les applications elles-mêmes sont
généralement plus simples à pirater
• Equipements de protection pas si
répandus
• Les développeurs sont peu
formés à la sécurité
• Les méthodes de hacking
applicatif circulent sur Internet
OWASP Testing Guide
L’OWASP est l’organisme de référence
pour la sécurité des sites web
#4Sécuriser une application web : un vrai défi !
75% des attaques sur le web exploitent
les vulnérabilités des applications » (Gartner).
pour la sécurité des sites web
Son guide de test de sécurité propose
une centaine de types de test (avec de
très nombreuses sous-catégories)
De nombreux tests ne sont pas
automatisables (contexte métier par
exemple)
33. Failles web : quelles conséquences ?
Le vol des données :
- Données des utilisateurs (mots de passe, coordonnées, etc
- Données métier (en lien avec la nature du site)
- Dans le cas d’applications mutualisées entre plusieurs
APPLICATION WEB MAL SECURISEES
ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont
as significatives… En fait, elles permettent par
- Dans le cas d’applications mutualisées entre plusieurs
(SaaS par exemple), vol de données très diverses en une seule fois
L’exécution d’actions métier (virement, création/suppression de comptes,
passage d’ordre, etc.)
La modification du contenu (« Defacement » par exemple)
L’utilisation de votre site pour attaquer ses autres utilisateurs
L’utilisation de vos systèmes pour perpétrer d’autres actions illégales
Utilisation du site web comme porte d’entrée vers le réseau interne,
en vue d’un piratage complet de l’entreprise
Failles web : quelles conséquences ?
des utilisateurs (mots de passe, coordonnées, etc.)
le cas d’applications mutualisées entre plusieurs entreprises
#4
Les conséquences des
ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont
as significatives… En fait, elles permettent par exemple :
le cas d’applications mutualisées entre plusieurs entreprises
), vol de données très diverses en une seule fois
(virement, création/suppression de comptes,
par exemple)
ses autres utilisateurs
actions illégales
réseau interne,
Les conséquences des
piratages de site web
peuvent être tout aussi
désastreuses pour
l’entreprise que les autres
formes de piratage
35. 1. Découverte
Recherche de tous les
éléments accessibles
2. Corrélation
Des bases
contenant toutes
publiquement
disponibles
gratuitement
MANQUES DE MISE A JOUR
Si vos équipements, serveurs ou applications ne sont pas tout
à fait à jour, le piratage peut être direct
’outillage est en effet complètement automatisé
Identification des différents
types et versions (techniques
de « fingerprinting »)
gratuitement
En entrant
type et la
composant,
immédiatement
de sécurité
Corrélation
de données
toutes les failles
publiquement connues sont
sur Internet,
3. Exploitation
Des codes d’attaques
existent aussi sur Internet
(dans certains cas, ils
peuvent être payants : un
marché très important
#3Si vos équipements, serveurs ou applications ne sont pas tout
à fait à jour, le piratage peut être direct :
est en effet complètement automatisé
simplement le
version d’un
on connaît
immédiatement son niveau
marché très important
existe)
Le piratage est alors très
simple : l’utilisation d’un outil
automatique ne nécessite
que peu de compétences
36. Tous les composants doivent être régulièrement
mis à jour : une réelle organisation stricte est nécessaire
Equipements / Réseau
o Switchs
o Routeurs
o WAF
o Load Balancers
o Etc.
Windows (Serveurs & Postes utilisateurs)
MANQUES DE MISE A JOUR
Systèmes / Services
Applicatifs
o Windows (Serveurs & Postes utilisateurs)
o Linux
o IIS / Apache /
o iOS / Android
o Bases de données
o Etc.
o OpenSSL
o CMS : WordPress,
o Navigateurs Internet
o Suite Microsoft Office
o Antivirus
o Etc.
les composants doivent être régulièrement
réelle organisation stricte est nécessaire
Switchs
Routeurs
Balancers
Windows (Serveurs & Postes utilisateurs)
#3
Windows (Serveurs & Postes utilisateurs)
IIS / Apache / Tomcat / Weblogic / …
iOS / Android
Bases de données
OpenSSL
CMS : WordPress, Jahia, Drupal, …
Navigateurs Internet
Suite Microsoft Office
Antivirus
37. Les erreurs courantes
Pas d’application des mises à jour
MANQUES DE MISE A JOUR
A RETENIR
Utilisation de systèmes obsolètes ne
recevant plus de mises à jour : Windows
95, 98, XP, NT , 2000, 2003
Mises à jours limitées aux serveurs et /
ou postes de travail
Les bons réflexes
Mises à jour systématiques et
obligatoires, voire automatiques
#3
Migration des systèmes
Circonscription de ceux ne pouvant l’être
Identification et suivi de l’ensemble des
équipements devant être mis à jour
38. Un réseau interne d’entreprise présente une surface
d’attaque énorme
Grande surface d’attaque ?
Infrastructure Windows AD
Authentification LM / NTLM / NTLMv2
Postes utilisateurs Windows WPAD /
RESEAUX INTERNES FACILES A PIRATER
Lors des tests d’intrusion de réseaux internes, nous sommes parvenus
à accéder aux données confidentielles de l’entreprise dans 95% des cas
Postes utilisateurs Windows WPAD /
SAMBA
Partages de fichiers, souvent très ouverts
Services par dizaines / centaines / milliers
Dizaines, centaines, voire milliers de comptes
utilisateurs, et autant de mots de passe
Etc.
Un réseau interne d’entreprise présente une surface
Et alors ?
Contrairement aux tests depuis Internet, il
n’y a en général pas (ou peu) de sécurité
#2
Lors des tests d’intrusion de réseaux internes, nous sommes parvenus
à accéder aux données confidentielles de l’entreprise dans 95% des cas
n’y a en général pas (ou peu) de sécurité
réseau
De fait, la plupart des éléments sont
accessibles
Cette surface d’attaque énorme offre une
telle diversité, qu’en général, toutes les
attaques évoquées jusqu’ici sont
potentiellement efficaces !
39. RESEAUX INTERNES FACILES A PIRATER
l existe tellement de possibilités de piratage, que
out contrer est très difficile, surtout dans la durée
Sécuriser un réseau interne est une
tâche colossale
De plus, le travail doit se faire
constamment, impossible de le faire
Tant de possibilités!
#2l existe tellement de possibilités de piratage, que
out contrer est très difficile, surtout dans la durée
constamment, impossible de le faire
« une fois pour toute »
Mettre en place une surveillance est
très important : si on ne peut tout
bloquer, on peut souvent détecter !
Bien évidemment, cela montre que la
sécurité périmétrique est très
importante : le pirate ne doit pas
pouvoir entrer sur le réseau interne
40. Les erreurs courantes
Faible niveau de protection dans
le réseau interne
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
le réseau interne
Absence de surveillance du
réseau interne
Les bons réflexes
Suivi des bonnes pratiques
(mises à jour, authentification,
permissions, etc.)
#2
permissions, etc.)
Mises en place de mécanismes de
détection (équipement, équipe,
etc.)
41. Les connexions WiFi au réseau interne peuvent aider
es pirates
Connexion
Du matériel spécialisé permet
une connexion à moyenne
Attaques classiques
De nombreux réseaux
RESEAUX INTERNES FACILES A PIRATER
une connexion à moyenne
distance
Un piratage est donc possible
depuis l’extérieur de
l’établissement visé
De nombreux réseaux
vulnérables à
classiques et connues
o WEP,
o WPA mal configuré,
o WPS,
o portail captif
au réseau interne peuvent aider
Attaques classiques
réseaux Wifi sont
Aide des utilisateurs
à leur insu !
Certains équipements créent ou
se connectent automatiquement
#2
réseaux Wifi sont
des attaques
connues :
configuré,
captif vulnérable
se connectent automatiquement
des réseaux Wifi
Les utilisateurs se connecten
parfois au réseau WiFi et au
réseau filaire simultanément
créant un pont
Cas du BOYD
42. Le cas particulier : le WiFi
Les erreurs courantes
WEP (quelle que soit la clé)
WPA avec une clé trop faible
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
Pont réseau vers le réseau interne
Equipements non maîtrisés (créent ou se
connectent aux réseaux WiFi)
Les bons réflexes
WPA2 avec une clé complexe renouvelée
régulièrement ou une authentification
par certificat
#2
Isolation du réseau interne des machines
connectées au WiFi
Revue systématique de la configuration
Désactivation des réseaux non utilisés
44. Méthodes classiques
INGENIERIE SOCIALE
Lorsque les attaques purement techniques échouent, ou
orsque les pirates ne craignent pas la détection, ils
attaquent le maillon humain
Pièges par e-mail
Appels téléphoniques
Don de matériel piégé
Comme pour les réseaux internes, la surface d’attaque est relativement
grande… et souvent, il suffit d’une seule personne
Leviers de manipulation mentale
“Le cerveau humain est comme un OS
sans firewall”
#1Lorsque les attaques purement techniques échouent, ou
orsque les pirates ne craignent pas la détection, ils
sans firewall”
Cupidité (offres promotionnelles,
appât du gain)
Idéologie (combats politiques,
religieux, etc.)
Menaces / Intimidation / Pression
Ego (mise au défi)
Etc.
Comme pour les réseaux internes, la surface d’attaque est relativement
grande… et souvent, il suffit d’une seule personne
45. Exemple #1 : Ingénierie sociale par
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet
Méthodologie en 3
INGENIERIE SOCIALE
Connexion à la boîte e
Analyse des informations techniques dérobées
(« cracking du hash du mot de passe
Prise de contrôle du poste de la victime
Méthodologie en 3
phases employée
habituellement
lors de nos tests
d’intrusion via
social engineering
Exemple #1 : Ingénierie sociale par e-mail
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet
#1
Connexion à la boîte e-mail cible
Analyse des informations techniques dérobées
cracking du hash du mot de passe »)
Connexion à la boîte cible via webmail
Attaque interne
Prise de contrôle du poste de la victime
Utilisation du poste de la victime pour attaquer
l’annuaire interne et extraire les hashs des
mots de passe « Windows Active Directory »
46. La méfiance à l’égard des mails n’est finalement pas si
Résultat : succès global quasi systématique
Téléchargement
du faux formulaire
INGENIERIE SOCIALE
Exécution du
cheval de Troie
du faux formulaire
A ce niveau, le pirate a déjà un pied dans l’entreprise visée
La méfiance à l’égard des mails n’est finalement pas si grande
systématique
61,23%
Téléchargement
du faux formulaire
#1
31,70%
0% 20% 40% 60% 80% 100%
Exécution du
cheval de Troie
du faux formulaire
A ce niveau, le pirate a déjà un pied dans l’entreprise visée
47. Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
INGENIERIE SOCIALE
Le niveau de sensibilisation moyen est faible
#1
Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
Le niveau de sensibilisation moyen est faible
Autres anecdotes :
Transmission de l’offre à des amis
Multiples exécutions du cheval de
Troie
Envoi de données confidentielles
non sollicitées
Etc.
48. Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande
Voler des données (très) confidentielles est alors aisé
Quelques exemples de données récupérées :
Documents techniques (mots de passe !)
INGENIERIE SOCIALE
Données commerciales (ventes, futurs appels
d’offres)
Données personnelles (mails, agendas, photos,
scans de documents administratifs)
Grille des salaires
Documents métier, etc.
Il est très rare qu’une entreprise résiste à ce type d’attaque,
notamment si le pirate est bien préparé et compétent.
Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande)
des données (très) confidentielles est alors aisé
Remarques :
Les anti-virus sont souvent aveugles dès
lors que l’attaque n’est pas une attaque
#1
lors que l’attaque n’est pas une attaque
connue (signature référencée)
A nouveau, attention au faux sentiment
de sécurité !
Il est très rare qu’une entreprise résiste à ce type d’attaque,
notamment si le pirate est bien préparé et compétent.
49. La voix humaine est un atout pour mettre la victime en confiance
Exemple #2 : Ingénierie sociale par téléphone
But de l’exercice / Scénario
INGENIERIE SOCIALE
• But : Récupérer le mot de passe de
l’utilisateur (accès webmail par exemple)
• Exemples de scénarios utilisés :
• Fausse migration de la messagerie
• Mise en place d’une fausse nouvelle
application de réseau social
• Création d’une fausse base
documentaire interne
La voix humaine est un atout pour mettre la victime en confiance
#2 : Ingénierie sociale par téléphone
Résultats
#1
Bien que les appels aient été effectués
depuis une ligne externe, le vol d’information
a été un grand succès :
• 343 appels téléphoniques
• 166 mots de passe récupérés (48,4%)
50. Des réactions parfois surprenantes
• « Ne vous en faites pas, je dirige ce département et
j’avertis qu’une migration est en cours : tout le
monde vous donnera son mot de passe. »
• « Mon collègue est absent, mais je connais son mot
Morceaux choisis
INGENIERIE SOCIALE
• « Mon collègue est absent, mais je connais son mot
de passe, je vous le donne également. »
• « Je ne vous donne pas mon mot de passe
Windows, c’est interdit ! Mais voici mon mot de
passe e-mail… »
• « C’est interdit de donner son mot de passe, mais
je n’ai pas envie de subir une coupure mail, donc le
voici ! »
A noter, des campagnes de ce type ont été effectuées quelques semaines
après une étape de sensibilisation interne… avec les mêmes résultats !
et
le
mot
Pour les rares cas où la personne refuse
catégoriquement, pour éviter que l’alerte ne
En cas de refus…
#1
mot
passe
de
mais
le
catégoriquement, pour éviter que l’alerte ne
soit donnée, plusieurs méthodes sont
envisageables.
Par exemple, on explique que dans ce cas, le
mot de passe va être réinitialisé, et on donne
à la personne un (faux) nouveau mot de
passe qu’elle doit « bien noter ».
A noter, des campagnes de ce type ont été effectuées quelques semaines
après une étape de sensibilisation interne… avec les mêmes résultats !
51. Les erreurs courantes
Manque d’information des
INGENIERIE SOCIALE
A RETENIR
Manque d’information des
utilisateurs
Ignorance ou refus des risques
liés au facteur humain
Les bons réflexes
Sensibilisations régulières
#1
Sensibilisations régulières
Campagnes d’informations
Campagnes de test
Analyse des risques encourus
53. ue faire ?
Développement : attention, si de
mauvais choix structurels affectent les
applications utilisées, leur sécurisation
peut être quasi-impossible ! De plus
attention aux applications web,
véritables nids de failles.
Equipements de sécurité : Leur
mmandations
Technique
Equipements de sécurité : Leur
simple présence n’ajoute que peu de
sécurité. Un paramétrage fin et adapté
au contexte est nécessaire. C’est un
travail long, parfois complexe, mais
indispensable.
Ne pas négliger la sécurité du réseau
interne : la probabilité qu’un pirate s’y
retrouve connecté est très forte
(notamment dans les grands groupes)
Surveillance : S’il est difficile
d’empêcher toute attaque de réussir, a
minima, il faut pouvoir la détecter le
plus vite possible pour la neutraliser
Afin de réduire les risques de vols de
données suite à des erreurs humaines, il
est fortement conseillé de mettre en place
des campagnes de sensibilisations
répétées des utilisateurs.
Différents type de support existent :
Humain
Différents type de support existent :
affiches,
communication par messagerie,
e-learning,
séance de sensibilisation.
54. ue faire ?
Maîtriser la sécurité d’un équipement
ou de logiciels que vous vous procurez
n’est pas forcément chose aisée
N’hésitez pas à inclure dans vos
contrats des clauses liées à la
sécurité
Ces clauses peuvent par exemple
mmandations
Prestataires / Vendeurs
Ces clauses peuvent par exemple
demander au fournisseur de s’engager
sur une liste de points de contrôle
sécurité
Faites jouer la concurrence si un
prestataire donné s’y refuse !
Afin d’amener la sécurité d’un périmètre
informatique à un niveau correct,
certaines actions peuvent être entreprises
pour un coût très modique :
Création d’une charte informatique
Même sans grand budget
Mise en place d’une politique de mots de
passe décente
Fermeture à clef systématique des
locaux sensibles
Elaboration de fiches de réaction face à
un incident (virus, intrus, piratage,
email suspect, etc.)
Campagnes de sensibilisation simples
(affiches à la machine à café, mails
réguliers, etc.)
55. ue faire ?
mmandations
Guides officiels :
Guides publiés :
Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs
sanitaire et médico-social - Structure sans approche SSI
Règles pour les dispositifs connectés d’un Système d’Information de
Référentiel d’authentification des acteurs de
Référentiel d’imputabilité
Guide pratique spécifique pour la mise en place d’un accèsGuide pratique spécifique pour la mise en place d’un accès
Guides en cours d’élaboration :
Guide pour la gestion des habilitations d’accès
Gestion des événements sécurité
Guide en concertation :
Règles pour la mise en place d’un accès web au SIS pour des
Les documents publiés sont disponibles dans l’espace publication de la PGSSI
http://esante.gouv.fr/pgssi-s/espace-publication
Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI
http://esante.gouv.fr/pgssi-s/espace-concertation
Les documents en cours d’élaboration seront mis en concertation courant 2016
d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs
Structure sans approche SSI formalisée
Règles pour les dispositifs connectés d’un Système d’Information de Santé
Référentiel d’authentification des acteurs de santé
Guide pratique spécifique pour la mise en place d’un accès WifiGuide pratique spécifique pour la mise en place d’un accès Wifi
pour la gestion des habilitations d’accès
Règles pour la mise en place d’un accès web au SIS pour des tiers
Les documents publiés sont disponibles dans l’espace publication de la PGSSI-S :
publication
Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI-S :
concertation
Les documents en cours d’élaboration seront mis en concertation courant 2016
56. onclusions
Un retour d’expérience pessimiste ?
Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles
aux entreprises : est
Un argument souvent employé pour expliquer nos résultats consiste à dire que le
pirate moyen n’a pas le niveau technique requis.
Pour rappel :
« 80 % de la cybercriminalité est liée des bandes organisées
financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne
ue faire ?
financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne
(Interpol)
Ne sous-estimez pas la menace.
Ne surestimez pas votre niveau de sécurité.
Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité
informatique réel de votre entreprise
http://esante.gouv.fr/services/referentiels/securite/pgssi
Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles
aux entreprises : est-ce représentatif ?
Un argument souvent employé pour expliquer nos résultats consiste à dire que le
pirate moyen n’a pas le niveau technique requis. Cet argument est illusoire.
des bandes organisées transfrontalières et représente un coût
plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »
estimez pas la menace.
Ne surestimez pas votre niveau de sécurité.
Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité
informatique réel de votre entreprise
http://esante.gouv.fr/services/referentiels/securite/pgssi