2. LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Geeks
Anonymes
« Le système d'information représente un patrimoine essentiel de
l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les ressources
matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu »
(http://www.clusif.asso.fr)
3. Responsable IT dans
une petite structure ... ?
(c) Pierre-Olivier Bourge 2013
users
parc machines
responsable
sécurité IT
admin système
admin réseau
m
aintenance
helpdesk
pc, mac, linux
brancher les PCs ...
OSes
scripts
et que sais-je encore ...
analyse de
risques
réseau
Geek needed ?
time
ressources
“chef de projet”
“développeur”
4. La
sécurité
?
pour
les
autres
?
Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
5. “ 60 % des cas sont liés à de l’espionnage industriel ! ”
Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013)
Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf
La
sécurité
informa3que
?
100% security is neither feasible nor the
appropriate goal
(Source : KPMG.nl)
Cyber security will never be “solved” but will be “managed”
(Source : Ravi Sandhu - UTSA Institute for Cyber Security)
(c) Pierre-Olivier Bourge 2013
6. La
sécurité
?
faut-‐il
être
parano
pour
autant
?
non
...
mais
ne
soyez
pas
naïf
!
véridique !
Van Eck phreaking
13. Types
de
risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Vulnerability = leaving your car unlocked
Exposure = thief identifies this and opens
the door.
Risk factor will increase if either factor is
changed
(e.g.. you left your car door unlocked,
with the keys inside, or you leave your
car unattended in a public parking lot vs.
your home garage.)
Risk = Vulnerability * Exposure - Security
14. Types
de
risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Décider :
1) ce qu’il y a à protéger
2) de quoi ?
3) comment ?
Mode : sécurité par
défaut
Risk = Vulnerability * Exposure - Security
17. Sécurité physique :
Chiffrement (“cryptage”)
• Mac OS X : FileVault 2
• Toutes plateformes :TrueCrypt
www.truecrypt.org
HD ou contenant ...
• Windows : No, No, No !
• Attention à la gestion de la clef !
(c) Pierre-Olivier Bourge 2013
Types
de
risques
:
“physique”
...
19. Sécurité physique :
Effacement sécurisé
• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm,Wipe, etc.
• Windows : utilitaires
Cf. Eraser, CCleaner, SDelete, Piriform,
etc.
(c) Pierre-Olivier Bourge 2013
Types
de
risques
:
“après”
...
22. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
(hardware, software)
Types
de
risques
• Connexions entrantes
s + sortantes,
• plusieurs routeurs / parefeux
en série (différentes configurations)
• plusieurs réseaux (services)
“déconnectés”
(compartmentalization, Cf. SCADA)
• connexion externe :“min”
• DMZ, IDS, etc.
23. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav,
VirusBarrier, Sophos,Avira,
McAfee,Avast!, ...
Types
de
risques
A5en6on
!
On
ne
joue
pas
!
24. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
access rights (users &
machines), security logs, ...
Types
de
risques
• No root !
• user is not admin
•“least privilege”
• BYOD = services, ports,
accès, ... : à fermer
• serveurs virtuels
• Security Onion
25. Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
Vous !
Types
de
risques
humain = le plus difficile
car le plus imprévisible
26. Vous = humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
e.g. : 5 lettres ou 2 mots du
dictionnaire accolés
27. Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
28. Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
• informations sensibles
• apprendre à identifier
les risques communs
• que faire ? comment
gérer les informations
sensibles ?
• changement de
comportement
29. Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
• “a password is the first
gateway to security
breaches”
• types d’attaques
communes
• comment générer un
bon mot de passe
• comment retenir ses
mots de passe ?
• le BYOD = BYOD
30. Confidentialité
Mots de passe
Complexité / Changement régulier
Plusieurs !
idéalement un et un seul pour chaque usage
un mot de passe hacké est une faille !
... et s’il donne accès à tout ...
Non accessible par ailleurs !
31. Comment
mémoriser
?
1) fichier ou partition cryptés
règle : avoir un bon mot de passe principal
avoir une bonne encryption du fichier
ou de la partition
le fichier ou la partition contiennent en clair
tous les autres mots de passe
2) outil Norton (ou Keychain Access sur Mac)
Comment mémoriser de manière sécurisée ?
(c) Pierre-Olivier Bourge 2013
32. Types
d’aCaques
sur
les
mots
de
passe
1) problème n’est pas tellement à l’identification lors
d’une connexion si
• protocole : sécurisé
• parefeu et services : bien configurés => bloqué
2) problème est plutôt :
• hacker : faille, accès aux clefs/mots de passe sécurisés ?
• combien de temps pour les casser ?
Attaques : où est le problème ?
(c) Pierre-Olivier Bourge 2013
Petite leçon sur le stockage
(hachage) des mots de passe
dans les ordinateurs
33. (c) Pierre-Olivier Bourge 2013
Stockage
mots
de
passe
Hash
hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512,
RIPEMD,Whirpool, etc.
34. Types
d’aCaques
sur
les
mots
de
passe1) par force brute
teste toutes les combinaisons
[exemple : HpAhTbd6nWx6cCDK]
parade : augmenter la longueur du mot de passe (> 8 !)
2) par dictionnaire
teste les noms communs ou propres, ou les mots de passe les plus courants
[exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...]
parade : éviter les noms communs ou propres, les mots avec un sens
courant
3) par substitution ou insertion
teste des noms substitués ou insérés
[exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...]
parade : éviter les substitutions et les insertions à partir de noms ou de
mots courants
4) par séquence ou inversion de séquences
teste par les séries de chiffres, de caractères
[exemple : 123456, abc123, drow (word), ...]
parade : à éviter absolument
(c) Pierre-Olivier Bourge 2013
35. Mots de passe (exemples) :
4031
carre
Picarré
hzs!Y%2v
ACaques
(force
brute)
Temps maximum pour
casser (en force brute)
instantané !
1/100ème seconde !
3 minutes
6 heures
Constante évolution : Hz , CPU => GPU
(c) Pierre-Olivier Bourge 2013
8 caractères aléatoires (Windows XP) en 6 heures pour un hacker !
et c’est même pire ... : e.g. tables arc-en-ciel, etc.
36. News
NSA
?
La
NSA
peut
décoder
tout
type
de
communica9on
chiffrée
?
Quelques
chiffres
de
puissance
de
calcul
à
l’heure
actuelle
...
CPUs GFlops X 8 alea (Windows)
Lenovo 2-Core
Mac 4-Core
Top 1-GPU
Hacker 25-GPU
SETI
BOINC
Tianhe-2
3 1 20 d
7 2 10 d
8 3 160 h
175 60 8 h
600.000 200.000 9 s
10.000.000 3.300.000 0,5 s
35.000.000 11.000.000 0,1 s
GFlops days / hours / secondsdays / hours / seconds
Hash
(c) Pierre-Olivier Bourge 2013
37. Types
d’aCaques
5) par séquence au clavier
teste des suites logiques au clavier
[exemple : azerty, azeswxc, vgyrgb, ...]
parade : éviter les substitutions à partir de noms
6) par répétition
teste les répétitions
[exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)]
parade : à éviter (n’apporte rien, augmente le signal dans l’encryption)
7) par ruse
vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe
[exemple : phishing (hameçonnage), attaque “sociale”, ...]
parade : vérifier votre connexion à un site sécurisé,
ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ...
8) par virus
un virus, ver, cheval de troie, etc. ouvre une faille dans le système
[exemple : un fichier corrompu, un programme piraté, keylogger, etc.]
parade : mettre à jour votre anti-virus (fait le reste)
éviter comportements à risque (téléchargements, phishing, etc.)
(c) Pierre-Olivier Bourge 2013
38. Types
d’aCaques
9) par ... etc.
attaques par
tables arc-en-ciels,
“temporelle”,
analyse statistiques,
surchiffrement,
man-in-the-middle,
etc.
parade :
the ability to learn is just as important as the
ability to monitor (KPMG.nl)
(c) Pierre-Olivier Bourge 2013
39. En conclusion
• Sécurité
★ affaire de tous & pas que IT
★ technique + moi + les autres
★ humain : sensibilisation & éducation
★ vigilance, veille constante
★ évaluer les risques
★ pas parano ... mais pas naïf ...
(c) Pierre-Olivier Bourge 2013
The security policy should primarily be
determined by your goals, not those of
your attackers (KPMG.nl)
40. Annexes
(c) Pierre-Olivier Bourge 2013
• Comment trouver un bon mot de passe
★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)
★ mnémotechnique (pseudo-aléatoire)
★ générateurs aléatoires (vrai = source de
bruit) : random.org
★ générateurs pseudo-aléatoires (algorithmes)
41. Types
de
mots
de
passe
1) aléatoire brut
la meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5(
règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués
2) phrase mnémotechnique
pas loin de l’aléatoire brut lorsque suffisamment longue
exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp =>
1Udb.vélp (longueur > 8 OK)
règle : initiales des mots, insérer chiffres, ponctuations, etc.
Types
(c) Pierre-Olivier Bourge 2013
42. Types
de
mots
de
passe
3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri
NOK ! Attaque par dictionnaire et substitution
4) style SMS
trop variable : si très condensé OK si phrase longue mais sinon ... ?
Bof ! Attaque par dictionnaire et substitution
Types
(c) Pierre-Olivier Bourge 2013
43. Types
de
mots
de
passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M
=> Banque : BU1CA:evd2!a
OK à Bof ! Force brute puis décode tout facilement ...
Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8)
6) se méfier des sites non professionnels
exemple : le site références
Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ?
Types
(c) Pierre-Olivier Bourge 2013