3.
Protéger la réputation
Satisfaire aux exigences légales
Eviter des pertes financières
La sécurité = {mesures} permettant d’assurer
la protection de l’information & Systèmes
Interception: vise la confidentialité des informations
Modification: vise l’intégrité des informations
Interruption: vise la disponibilité des informations
Fabrication: vise l’authenticité des informations
3
5. Un risque ne peut être éliminé. Il peut seulement
être réduit soit par la mise en place de meilleures
protections soit en réduisant l’impact.
Risque = Vulnérabilité Menace Impact
Contre mesure
Vulnérabilité:
Clés sous le tapis.
Impact: Cambrioleur casse
Menace:
Cambrioleur essaie d’entrer. l’armoire, vole de l’argent,
crée des ennuis.
5
8.
Le gain financier: Récupération de num de
cartes bancaires, ...
Vengeance: Site www.aljazeera.net lors de la
couverture de la guerre d'irak
Curiosité: Attaques d'étudiants du MIT sur le
premier ordinateur IBM 704 au MIT en 1959.
Recherche d'émotions fortes
8
10. Stuxnet est un ver de complexité très inhabituelle
pour un malware. Il a été décrit par différents
experts comme une cyber arme, conçue pour
attaquer une cible industrielle déterminée. Il
s'agirait d'une première dans l'histoire.
Découvert en juin 2010, il a affecté 45 000
systèmes informatiques, dont 30 000 situés en
Iran.
Le général israélien Gabi Ashkenazi a affirmé,
lors de son départ à la retraite, être le père du ver
Stuxnet.
11
14. Un virus est un logiciel qui s’attache à tout type
de document électronique, et dont le but est
d’infecter ceux-ci et de se propager sur d’autres
documents
et
d’autres
ordinateurs.
Un virus a besoin d’une intervention humaine
pour se propager.
15
15. Un ver se reproduit en s’envoyant à travers un
réseau
(e-mail,
Bluetooth,
chat..)
Le ver n’a pas besoin de l’interaction humaine
pour pouvoir se proliférer
16
16. Les spywares sont des logiciels parasites
indétectables. Ils n'ont pas une action destructive
(comme les virus), mais servent à espionner vos
habitudes et vos "besoins", pour des buts
"commerciaux malsains".
17
17. Programme bénin (jeux, documents…) cachant
un autre programme. Lorsque le programme est
exécuté, le programme caché s’exécute aussi et
pourrait ouvrir une « porte cachée ».
18
18. Moyen de contourner les mécanismes de sécurité ;
il s’agit d’une faille du système de sécurité due à
une faute de conception accidentelle ou
intentionnelle (cheval de Troie en particulier).
Ces passages secrets sont ménagés par les
concepteurs de logiciels pour fournir des accès
privilégiés pour les tests ou la maintenance.
19
19.
Code malicieux permettant à un attaquant de
maintenir en temps réel un accès frauduleux à un
système informatique, se greffant généralement
dans le noyau du système d'exploitation.
A la différence d'un virus ou d'un ver, un rootkit
ne se réplique pas.
Agit sur une machine déjà compromise. Il est
utilisé dans une étape après intrusion et
l'installation d'une porte dérobée pour cacher tous
les changements effectués lors de l'intrusion afin
de préserver l'accès à la machine.
20
21. L'objectif de l'attaque consiste à s'interposer entre
deux machines du réseau et de transmettre à
chacune un paquet falsifié indiquant que l'adresse
MAC de l'autre machine a changé, l'adresse ARP
fournie étant celle de l'attaquant.
De cette manière, à chaque fois qu'une des deux
machines souhaitera communiquer avec la
machine distante, les paquets seront envoyés à
l'attaquant, qui les transmettra de manière
transparente à la machine destinatrice.
22
22. L'«usurpation d'adresse IP» (spoofing IP) est
une technique consistant à remplacer l'adresse
IP de l'expéditeur IP par l'adresse IP d'une autre
machine.
En effet, un système pare-feu fonctionne la
plupart du temps grâce à des règles de filtrage
indiquant les adresses IP autorisées à
communiquer avec les machines internes au
réseau. L’usurpation d’IP permet de contourner
le mur de feu.
23
23. Ainsi, un paquet spoofé avec l'adresse IP d'une
machine interne semblera provenir du réseau
interne et sera relayé à la machine cible, tandis
qu'un paquet contenant une adresse IP externe
sera automatiquement rejeté par le pare-feu.
24
24. Le phishing traduit parfois en
«hameçonnage», est une technique
frauduleuse utilisée par les pirates
informatiques pour récupérer des
informations (généralement bancaires)
auprès d'internautes.
La technique du phishing est une
technique d'ingénierie sociale, c'est-àdire consistant à exploiter non pas une
faille informatique mais la « faille
humaine » en dupant les internautes
par le biais d'un courrier électronique
semblant provenir d'une entreprise de
confiance, typiquement une banque ou
un site de commerce.
25
25. Une « attaque par déni de service » est un type
d'attaque visant à rendre indisponible pendant un
temps indéterminé les services ou ressources
d'une organisation. Il s'agit la plupart du temps
d'attaques à l'encontre des serveurs d'une
entreprise, afin qu'ils ne puissent être utilisés et
consultés, On distingue deux types:
Les dénis de service par saturation
Les dénis de service par exploitation de
vulnérabilités
26
27. Une faille d'injection, telle l'injection SQL, se
produit quand une donnée non fiable est envoyée
à un interpréteur en tant qu'élément d'une
commande ou d'une requête. Les données hostiles
de l'attaquant peuvent duper l'interpréteur afin
de l'amener à exécuter des commandes fortuites
ou accéder à des données non autorisées.
28
28. Le cross-site scripting, abrégé XSS, est un type de
faille de sécurité des sites Web, que l'on trouve
typiquement dans les applications Web qui
peuvent être utilisées par un attaquant pour
provoquer un comportement du site Web
différent de celui désiré par le créateur de la page
(redirection vers un site, vol d'informations, etc.).
Il est abrégé XSS pour ne pas être confondu avec
le CSS (feuilles de style), X étant une abréviation
commune pour « cross » (croix) en anglais.
29
30. Le
dépassement
de
tampon
ou
débordement de tampon (en anglais, buffer
overflow) est un bug par lequel un
processus, lors de l'écriture dans un
tampon, écrit à l'extérieur de l'espace alloué
au tampon, écrasant ainsi des informations
nécessaires au processus.
Lorsque
le
bug
se
produit
non
intentionnellement, le comportement de
l'ordinateur devient imprévisible. Il en
résulte
souvent
un
blocage
du
programme, voire de tout le système.
31
31. Un pirate peut craquer (cible) le mot de passe de
la session. Mais si vous choisissez un mot de
passe robuste, cela lui prendra beaucoup de
temps. Alors pourquoi ne pas attendre que la
victime se connecte sur la session et prendre sa
place ?
32
34.
Toute information circulant sur Internet peut
être capturée et enregistrée et/ou modifiée
Problème de confidentialité et d’intégrité
Toute personne peut falsifier son adresse IP
(spoofing) ce qui engendre une fausse
identification
Problème d’authentification
35
35. La cryptographie est une des disciplines de la
cryptologie s'attachant à protéger des messages
en s'aidant souvent de secrets ou clés.
La cryptanalyse est la science qui consiste à tenter
de déchiffrer un message ayant été chiffré sans
posséder la clé de chiffrement.
36
36.
Algorithmes de chiffrement faibles
Algorithmes de cryptographie symétrique
Chiffre de Vernam, DES, 3DES, AES, RC4, RC5
Algorithmes de cryptographie asymétrique
ROT13, Chiffre de César, Chiffre de Vigenère.
RSA (chiffrement et signature), DSA (signature)
Diffie-Hellman (échange de clé)
Fonctions de hachage
MD5, SHA-1, SHA-256 ;
37
38.
Utilise des opérations de base: Substitution,
Transposition, Opérations algébriques simples
DES : Data Encryption Standard
Développé par IBM
Utilise des clé de taille 56 bits.
AES : Advanced Encryption Standard
Standard cryptographique depuis 2000
Utilise des clés de tailles 128, 192 et 256 bits
39
39.
Chaque personne dispose d’une paire de clé :
Clé privée : connue uniquement par son propriétaire
Clé publique : publiée dans des annuaires publiques
Si on crypte avec l’une de ces clés le décryptage
se fait uniquement avec l’autre
Les algorithmes asymétriques sont des
fonctions mathématiques basées sur des
problèmes mathématiques très compliqués
La résolution de ces problèmes est
pratiquement impossible sans connaître un
paramètre (l’une des clés)
40
42.
Fonctions à sens unique : pour un entier x, il est
simple de calculer H(x), mais étant donner
H(x), il est pratiquement impossible de
déterminer x
La fonction de hashage permet d’extraire une
empreinte qui caractérise les données
Une empreinte a toujours une taille fixe
indépendamment de la taille des données
Il est pratiquement impossible de trouver deux
données ayant la même empreinte
43
44. Les crypto-systèmes asymétriques souffrent d’une
vulnérabilité dite : Man In The Middle Attack
Solution :
Certificats électroniques
45
45. D'après Zimmermann :
« Que se passerait-il si tout le monde estimait que les
citoyens honnêtes devraient utiliser des cartes postales
pour leur courrier ? Si un non-conformiste s’avisait alors
d’imposer le respect de son intimité en utilisant une
enveloppe, cela attirerait la suspicion. Peut-être que les
autorités ouvriraient son courrier pour voir ce que cette
personne cache. De la même manière, ce serait excellent si
tout le monde utilisait la cryptographie de manière
systématique pour tous ses e-mails, qu’ils soient innocents
ou non, de telle sorte que personne n’attirerait la suspicion
en protégeant l’intimité de ses e-mails par la cryptographie.
Pensez à le faire comme une forme de solidarité. »
46
46.
L'analyse fréquentielle
L'indice de coïncidence
L'attaque par mot probable
L'attaque par dictionnaire
L'attaque par force brute
Cryptanalyse linéaire
Cryptanalyse différentielle
Cryptanalyse différentielle-linéaire
Cryptanalyse quadratique et modulo N
47
47.
En 2005, une équipe du FBI des États-Unis
d'Amérique fit la démonstration qu'il est
possible de pénétrer un réseau protégé par du
WEP en 3 minutes en utilisant des outils
disponibles publiquement (Aircrack)
Depuis juillet 2006, il est possible de pénétrer
les réseaux protégés par WEP en quelques
secondes seulement, en tirant parti de la
fragmentation des paquets pour accélérer le
cassage de la clé.
48
48. En novembre 2008, deux chercheurs allemands en
sécurité ont annoncé avoir découvert une faille de
sécurité dans le mécanisme de sécurité WPA
utilisé avec l'algorithme TKIP.
A la fin du mois d'août 2009, deux japonais
mettent au point une attaque permettant, en une
minute, de falsifier des paquets de type ARP ou
DNS. Celle-ci utilise une amélioration de l'attaque
Beck-Tews en la combinant à une attaque de type
"middle-man".
49
51.
Un CSIRT est une équipe d’experts en sécurité
informatique ayant pour mission principale de
répondre aux incidents en proposant les
services nécessaires au traitement des attaques
et en aidant leurs parties prenantes à restaurer
les systèmes qui en ont fait l’objet.
Ils publient des bulletins et avis de
vulnérabilités concernant les logiciels et
matériels en usage, et informent les utilisateurs
des exploits et virus tirant parti des failles
constatées.
52
54.
Mr. Hassen BAHRI
Manager du tunCERT
NACS (2002 – 2005)
ENSI (1999 – 2002 )
IPEIT (1997 – 1999 )
Date de l’entretien: 27 janvier 2012
Durée: 1H30
tunCERT-Tunisian Computer Emergency Response Team
Agence Nationale de la Sécurité Informatique
Ministère des technologies de l'information et de la communication
Adresse: 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie
Tel: 71 843 200 Fax: 71 846 363
Site web: www.ansi.tn
55
57.
La mise à jour du système d’exploitation et même
pour les systèmes mobiles afin de s’assurer de
l’absence de toute faille connue qui pourrait être
utilisée par des pirates ou par des virus.
La mise à jour de l’antivirus.
Vérifiez s’il y a des symptômes indiquant que
votre ordinateur est infecté ou non (Lenteur
anormale,
paramètres
systèmes
modifiés, redirection du navigateur vers des sites
non
sollicités,
affichage
de
Popup, endommagement de fichier, logiciel qui
fonctionne anormalement). Au cas échéant lancez
un scan antiviral complet sur votre disque.
58
58.
Sauvegarde régulière de vos fichiers sensibles sur des
supports amovibles.
Ne pas installer des logiciels douteux, et notamment
ceux de partage de fichiers ou de contrôle de PC à
distance.
Eviter la navigation sur les sites douteux, surtout ceux
qui offrent des logiciels craqués ou à contenu indécent.
Utiliser des mots de passe robustes et difficiles à
deviner. N’oublier pas de les changer périodiquement
ou en cas de soupçon.
Hors d’usage, il faut éteindre l’ordinateur.
Avoir le bon réflexe en cas d’incident : déconnectez
votre PC, lancez un scan antiviral et contacter le
tunCERT pour demander de l’assistance.
59
59.
S’assurer de la sécurité au niveau de la plateforme d’hébergement ou
déléguer cette tâche à votre hébergeur.
Vérifier le déploiement des solutions de sécurité nécessaires: contrôle
antiviral, filtrage, détection d’intrusion et filtrage applicatif.
S’assurer de l’utilisation des dernières versions des systèmes de gestion
de contenu (CMS comme Joomla, Drupal, WordPress, Typo3), si le cas se
présente.
Auditer votre application web pour identifier les failles qui peuvent être
exploitées, en faisant appel à un expert dans le domaine si c’est possible.
Appliquer les bonnes règles de gestion : Contrôle d’accès à la zone
d’administration, gestion de mots de passe, vérification des logs,
sauvegarde des données, plan de secours en cas de problème majeur,
utilisation des protocoles sécurisés pour l’administration à distance
(HTTPS, SSH, SCP).
Avoir une procédure de veille pour s’informer sur les nouvelles failles et
appliquer les correctifs en un temps optimal (mailing-list du tunCERT).
Vérifier la sécurité de votre poste d’administration.
60