SlideShare una empresa de Scribd logo

Intrusions et gestion d’incidents informatique

M
michelcusin

Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet. Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats. Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu? Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face. Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.

Tecnología
1 de 45
Descargar para leer sin conexión
Intrusions et gestion d’incidents informatique © 2011 Michel Cusin 1
Agenda •  État de situation •  Qui sont nos adversaires •  Les types d’attaques et leurs cibles •  Les étapes d’une attaque •  Parce qu’un “hack” vaut 1000 mots… Des démos !!! •  Comment (tenter) de se protéger © 2011 Michel Cusin 2
État de situation © 2011 Michel Cusin 3
Quelques cas Quand Cible Qui Quoi 2010 (+) Wikileaks Anonymous DDoS - Services non disponibles Operation: Payback Mastercard, Visa Amazon, PayPal Février 2011 HBGary Anonymous Vol et Publication d’info confidentielle Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques 2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID Juin 2011 Google (Gmail) Chine Vol de mot de passe, interception de courriels Juin 2011 Citigroup ? Vol d’information de clients © 2011 Michel Cusin 4
Quelques cas (suite) Quand Cible Qui Quoi Juin 2011 Sénat américain LulzSec Publication de la structure du site Web Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible Juin 2011 CIA LulzSec Site Web temporairement inaccessible Juin (+) OTAN Anonymous ? Vol de 1GB d’info 2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés 2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter Août 2011 72 organisations publiques Chine? McAfee Operation Shady RAT: Vol de secrets gouv, et privées dans 14 pays info corpo sensible, propriété intélectuelle Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres Source: CNET Hacker Chart © 2011 Michel Cusin 5
Plus près de chez nous Quand Cible Qui Quoi Février 2007 RTSS ? Ver, botnet 2006 - 2008 Opération Basique 19 Québécois Botnet Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor. Juillet 2011 Canada, USA, France, Joseph Mercier Botnet opéré à partir de Laval Russie, Émirats Arabes Unis © 2011 Michel Cusin 6
Anonymous © 2011 Michel Cusin 7
LulzSec © 2011 Michel Cusin 8
th3j35t3r (The Jester) © 2011 Michel Cusin 9
Commander X According to a CBS News report, "Commander X" told their reporter that he had no fear about being caught: "We're not going to turn ourselves in. They can come and get us is what I say. Bring it on. Until then, we run... We will remain free and at liberty and at large for as long as we can, and when the time comes that each and every one of us eventually will be brought to justice, we will hold our head high in any court of law and we will defend our actions." Doyon is scheduled to appear on September 29th for a bail hearing. © 2011 Michel Cusin 10
Stuxnet •  Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067) •  Attaque très spécifique: •  Windows •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens •  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses •  Modifie périodiquement la vitesse des moteurs de la centrifuge, causant des dommages. •  Cyber arme industrielle possiblement déployée par Israël visant a déstabiliser le programme nucléaire Iranien •  Et alors? © 2011 Michel Cusin 11
Récapitulons (ne capitulons pas) Nous ne faisons pas face à des individus, mais à un mouvement qui n’obéit qu’à ses propres règles. Nous devons penser et agir en fonction de cette réalité. Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il faut savoir le traquer, le trouver et l’expulser. Afin de nous défendre, nous devons savoir qui ils sont et comment ils procèdent. Nous devons apprendre à mieux les connaitre et à savoir comment ils pensent. © 2011 Michel Cusin 12
Sun Tzu Je dis que si tu te connais toi-même et que tu connais ton ennemi, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même, tu perdras toutes les batailles. –Sun Tzu, l’art de la guerre © 2011 Michel Cusin 13
Qui sont les attaquants •  Script Kiddies •  Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$ •  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial) •  Employés (volontairement ou à leur insu) – Parfois les plus dangereux © 2011 Michel Cusin 14
Motivations •  Argent (espionnage, avantage concurrentiel, mercenaire, etc…) •  Notoriété, gloire, réputation, etc… •  Politique / Activisme •  Parce que je peux… (opportunisme, apprentissage/découverte) •  Terrorisme (attaques et financement) •  Militaires © 2011 Michel Cusin 15
Les types d’attaques •  Server-side Attacks (de l’externe) •  Client-side Attacks (de l’interne) •  Ingénierie Sociale (les gens) •  Sans-fil (interne et externe) •  Médias amovibles (Clés USB et autres) © 2011 Michel Cusin 16
Cibles d’attaques •  Postes de travail (OS, applications, physique) •  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…) •  Équipements réseau (routeur, commutateur, concentrateur?) •  Téléphonie IP •  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth © 2011 Michel Cusin 17
Étapes d’une attaque •  Reconnaissance (ramasser de l’information) •  Scanning (découvrir les failles) •  Attaque (exploiter les failles et vulnérabilités) •  Garder un accès (backdoor, porte dérobée, Rootkit) •  Effacer les traces (effacer/modifier les logs) © 2011 Michel Cusin 18
Reconnaissance •  Site Web de la “cible”: •  Mission •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Et plus… •  Adresses IP et autres informations •  American Registry for Internet Numbers (ARIN) •  Whois (Qui) •  Nslookup (Quoi) •  www.centralops.net, Sam Spade © 2011 Michel Cusin 19
Reconnaissance (2) •  Google: •  Requêtes (intitile, inurl, type, link, etc...) •  Google Hacking DataBase (GHDB) – Johnny Long •  Google Maps, Street View, Picassa, Cache, Groups, Blog •  Réseaux sociaux (Facebook, Twitter, LinkedIn) •  (CeWL) -> Liste de mots (uname/passwd) •  www.123people.ca, www.pipl.com •  www.archives.org (Wayback machine) © 2011 Michel Cusin 20
Reconnaissance (3) •  Outils •  CeWL •  BiDiBLAH •  BiLE •  Gpscan (Profils Google) •  Gloodin •  Lazy Champ •  Sam Spade •  Foca (Metadata) •  Maltego* •  Etc… © 2011 Michel Cusin 21
© 2011 Michel Cusin 22
Scanning •  Balayage de ports •  Nmap* •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…) •  « OS Fingerprinting » - Déterminer la version du OS •  actif: Nmap, Xprobe •  Passif: p0f •  Balayage de vulnérabilités •  Nessus*, OpenVAS •  Découverte des vulnérabilités dans le bût de les exploiter © 2011 Michel Cusin 23
BackTack © 2011 Michel Cusin 24
Metasploit Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante. Interface Utilisateur Exploit 1 Payload 1 Exploit 2 Choix Payload 2 Exploit N Payload N Exploit 2 Payload 1 Stager Launcher Vers la cible © 2011 Michel Cusin 25
Metasploit / Meterpreter •  Metasploit* •  Creation et encodage d’un “payload” malicieux (Meterpreter) •  Serveur écoutant les requêtes entrantes des victimes •  Meterpreter* (backdoor résident en mémoire injecté dans un dll) •  Donne un plein accès au poste de la victime •  Communications cryptées •  Lister contenue du poste, les ps, Hashdump, pivot, etc… •  “Shell is just the beginning…” © 2011 Michel Cusin 26
Social-Engineer Toolkit (SET) 1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based Attack Vector 7) SMS Spoofing Attack Vector 8) Wireless Access Point Attack Vector 9) Third Party Modules ! © 2011 Michel Cusin 27
Attaques de mots de passe •  Guessing: THC Hydra, Medusa; •  Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt) •  Sniffing: Cain, tcpdump, Wireshark; •  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit; © 2011 Michel Cusin 28
Attaques de réseaux sans fil •  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…) •  Filtrer par adresses MAC et cacher le SSID = inutile ! •  WEP, WPA, WPA2 -> Tous “crackables” •  Faiblesse au niveau des initialization vector (IV) •  Une authentification robuste est nécessaire •  PEAP (Protected Extensible Authentication Protocol) •  Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu’un réseau filaire. © 2011 Michel Cusin 29
Attaques de réseaux sans fil •  Aircrack-ng •  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK) •  Airpwn (Sniff le trafic WiFi) •  Injecte du “faux” trafic (HTTP) - “Race condition” •  AirJack (MITM) •  Désauthentifie, sniff, devient un AP, MITM •  Karma (deviens tout ce que vous demandez) •  DHCP, DNS, HTTP, FTP, POP3, SMB •  Karmetaploit (Karma + Metasploit) •  PwnPlug © 2011 Michel Cusin 30
PwnPlug: Hardware •  CPU (1.2 GHz) •  RAM (512 MB SDRAM) •  HDD Flash (512 MB) •  Prise(s) réseau Ethernet •  Port USB 2.0 •  Expension SDHC (flash) © 2011 Michel Cusin 31
PwnPlug: Software •  Système d’exploitation: Linux •  Outils: •  Metasploit •  SET (Social Engineer Toolkit) •  Ignuma & Fast-Track •  JTR (John the Ripper) •  Nikto •  Medusa •  Dsniff •  Scapy •  Ettercap •  Kismet •  SSLstrip •  Karma •  Nmap •  Karmetasploit •  Nbtscan •  Aircrack-NG •  Netcat •  WEPbuster © 2011 Michel Cusin 32
Réseau sans fil “sécurisé” Réseau local (filaire) Point d’accès sans-fil Serveur d’authentification Chiffrement & authentification (WPA2 - PEAP) Poste Assistant personnel (sans-fil) (iPhone, Blackberry, etc..) © 2011 Michel Cusin 33
Réseau sans fil “non sécurisé” Point d’accès sans-fil non sécurisé © 2011 Michel Cusin 34
Attaques de sites Web •  Cross-Site Scripting (XSS) •  Cross-Site Request Forgery (XSRF) •  Command Injection •  DDoS •  Injection SQL: sqlmap* © 2011 Michel Cusin 35
Garder un accès Backdoors (Poison Ivy) Rootkits: (Applicatif & Kernel) © 2011 Michel Cusin 36
Garder un accès •  Telnet, SSH, netcat •  Désactiver ou reconfigurer le coupe-feu de Windows: (C:netsh firewall set opmode=disable) •  VNC, Remote Desktop •  Partage SMB (X.X.X.XC$) © 2011 Michel Cusin 37
Effacer les traces © 2011 Michel Cusin 38
La sécurité au quotidien •  Restez informé de ce qui se passe •  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais… Il y a plus! •  Connaissez et maitrisez votre environnement •  La sécurité ne s’achète pas, elle se construit. •  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas FAIT mal ! © 2011 Michel Cusin 39
Honeypot (Honeynet) •  Un honeypot, ou “pot de miel”, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers. •  Un honeynet est un réseau de honeypots. Surveillance Faible interaction Collecte d'information Haute interaction Analyse d'information http://www.honeynet.org/ © 2011 Michel Cusin 40
Analyse de vulnérabilité vs Test d’intrusion AV •  Reconnaissance (ramasser de l’information) Pentest •  Scanning (découvrir les failles) Pentest •  Attaque (exploiter les failles et vulnérabilités) AV Pentest •  Rapports, explications, solutions © 2011 Michel Cusin 41
Professionnel de la sécurité vs Pirate •  Planification: •  Type de test et contexte •  Portée (quoi) •  Règles d’engagement (comment) •  Tests: •  Les facteurs temps, portée et règles d’engagement •  La méthodologie •  Maintiens de la stabilité de la cible •  Outils •  Rapports: •  Exécutif, technique •  Explications, solutions, personnalisation © 2011 Michel Cusin 42
La gestion des incidents en 6 étapes Préparation Identification Contenir Éradication Rétablissement Leçons apprises © 2011 Michel Cusin 43
Conclusion •  La menace est bien réelle et elle est là pour rester! •  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées. •  Testez votre sécurité avant que quelqu’un ne le fasse à votre place… •  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent. •  Pensez différemment, sortez des paradigmes. •  La sécurité est un mode de vie, qui se vie au quotidien •  Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance. Le reste viendra avec… © 2011 Michel Cusin 44
En terminant… http://cusin.ca ou michel@cusin.ca © 2011 Michel Cusin 45

Recomendados

Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 

Recomendados

Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Exposé hackers
Exposé hackersExposé hackers
Exposé hackersPaulineBouveau
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Presentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskPresentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskRaef Ghribi
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Snort implementation
Snort implementationSnort implementation
Snort implementationRokitta Apollonia
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueRAUDIN33
 
Sgbdr merise
Sgbdr meriseSgbdr merise
Sgbdr meriseFataltigers06
 
LES JOINTURES
LES JOINTURESLES JOINTURES
LES JOINTURESdanaobrest
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008Patrick Guimonet
 
Secu SSI 2009
Secu SSI 2009Secu SSI 2009
Secu SSI 2009AdminSquale21
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?provadys
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 

Más contenido relacionado

Destacado

Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Presentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskPresentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskRaef Ghribi
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueRAUDIN33
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008Patrick Guimonet
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?provadys
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 

Destacado (19)

Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Presentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskPresentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help desk
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Snort implementation
Snort implementationSnort implementation
Snort implementation
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométrique
 
Sgbdr merise
Sgbdr meriseSgbdr merise
Sgbdr merise
 
LES JOINTURES
LES JOINTURESLES JOINTURES
LES JOINTURES
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
 
Secu SSI 2009
Secu SSI 2009Secu SSI 2009
Secu SSI 2009
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 

Similar a Intrusions et gestion d’incidents informatique

Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?Cyber Security Alliance
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au pointAntonio Fontes
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Inter-Ligere
 

Similar a Intrusions et gestion d’incidents informatique (9)

Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point
 
Club ies 2012
Club ies 2012Club ies 2012
Club ies 2012
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.
 

Más de michelcusin

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Más de michelcusin (16)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Intrusions et gestion d’incidents informatique

  • 1. Intrusions et gestion d’incidents informatique © 2011 Michel Cusin 1
  • 2. Agenda •  État de situation •  Qui sont nos adversaires •  Les types d’attaques et leurs cibles •  Les étapes d’une attaque •  Parce qu’un “hack” vaut 1000 mots… Des démos !!! •  Comment (tenter) de se protéger © 2011 Michel Cusin 2
  • 3. État de situation © 2011 Michel Cusin 3
  • 4. Quelques cas Quand Cible Qui Quoi 2010 (+) Wikileaks Anonymous DDoS - Services non disponibles Operation: Payback Mastercard, Visa Amazon, PayPal Février 2011 HBGary Anonymous Vol et Publication d’info confidentielle Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques 2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID Juin 2011 Google (Gmail) Chine Vol de mot de passe, interception de courriels Juin 2011 Citigroup ? Vol d’information de clients © 2011 Michel Cusin 4
  • 5. Quelques cas (suite) Quand Cible Qui Quoi Juin 2011 Sénat américain LulzSec Publication de la structure du site Web Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible Juin 2011 CIA LulzSec Site Web temporairement inaccessible Juin (+) OTAN Anonymous ? Vol de 1GB d’info 2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés 2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter Août 2011 72 organisations publiques Chine? McAfee Operation Shady RAT: Vol de secrets gouv, et privées dans 14 pays info corpo sensible, propriété intélectuelle Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres Source: CNET Hacker Chart © 2011 Michel Cusin 5
  • 6. Plus près de chez nous Quand Cible Qui Quoi Février 2007 RTSS ? Ver, botnet 2006 - 2008 Opération Basique 19 Québécois Botnet Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor. Juillet 2011 Canada, USA, France, Joseph Mercier Botnet opéré à partir de Laval Russie, Émirats Arabes Unis © 2011 Michel Cusin 6
  • 9. th3j35t3r (The Jester) © 2011 Michel Cusin 9
  • 10. Commander X According to a CBS News report, "Commander X" told their reporter that he had no fear about being caught: "We're not going to turn ourselves in. They can come and get us is what I say. Bring it on. Until then, we run... We will remain free and at liberty and at large for as long as we can, and when the time comes that each and every one of us eventually will be brought to justice, we will hold our head high in any court of law and we will defend our actions." Doyon is scheduled to appear on September 29th for a bail hearing. © 2011 Michel Cusin 10
  • 11. Stuxnet •  Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067) •  Attaque très spécifique: •  Windows •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens •  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses •  Modifie périodiquement la vitesse des moteurs de la centrifuge, causant des dommages. •  Cyber arme industrielle possiblement déployée par Israël visant a déstabiliser le programme nucléaire Iranien •  Et alors? © 2011 Michel Cusin 11
  • 12. Récapitulons (ne capitulons pas) Nous ne faisons pas face à des individus, mais à un mouvement qui n’obéit qu’à ses propres règles. Nous devons penser et agir en fonction de cette réalité. Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il faut savoir le traquer, le trouver et l’expulser. Afin de nous défendre, nous devons savoir qui ils sont et comment ils procèdent. Nous devons apprendre à mieux les connaitre et à savoir comment ils pensent. © 2011 Michel Cusin 12
  • 13. Sun Tzu Je dis que si tu te connais toi-même et que tu connais ton ennemi, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même, tu perdras toutes les batailles. –Sun Tzu, l’art de la guerre © 2011 Michel Cusin 13
  • 14. Qui sont les attaquants •  Script Kiddies •  Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$ •  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial) •  Employés (volontairement ou à leur insu) – Parfois les plus dangereux © 2011 Michel Cusin 14
  • 15. Motivations •  Argent (espionnage, avantage concurrentiel, mercenaire, etc…) •  Notoriété, gloire, réputation, etc… •  Politique / Activisme •  Parce que je peux… (opportunisme, apprentissage/découverte) •  Terrorisme (attaques et financement) •  Militaires © 2011 Michel Cusin 15
  • 16. Les types d’attaques •  Server-side Attacks (de l’externe) •  Client-side Attacks (de l’interne) •  Ingénierie Sociale (les gens) •  Sans-fil (interne et externe) •  Médias amovibles (Clés USB et autres) © 2011 Michel Cusin 16
  • 17. Cibles d’attaques •  Postes de travail (OS, applications, physique) •  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…) •  Équipements réseau (routeur, commutateur, concentrateur?) •  Téléphonie IP •  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth © 2011 Michel Cusin 17
  • 18. Étapes d’une attaque •  Reconnaissance (ramasser de l’information) •  Scanning (découvrir les failles) •  Attaque (exploiter les failles et vulnérabilités) •  Garder un accès (backdoor, porte dérobée, Rootkit) •  Effacer les traces (effacer/modifier les logs) © 2011 Michel Cusin 18
  • 19. Reconnaissance •  Site Web de la “cible”: •  Mission •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Et plus… •  Adresses IP et autres informations •  American Registry for Internet Numbers (ARIN) •  Whois (Qui) •  Nslookup (Quoi) •  www.centralops.net, Sam Spade © 2011 Michel Cusin 19
  • 20. Reconnaissance (2) •  Google: •  Requêtes (intitile, inurl, type, link, etc...) •  Google Hacking DataBase (GHDB) – Johnny Long •  Google Maps, Street View, Picassa, Cache, Groups, Blog •  Réseaux sociaux (Facebook, Twitter, LinkedIn) •  (CeWL) -> Liste de mots (uname/passwd) •  www.123people.ca, www.pipl.com •  www.archives.org (Wayback machine) © 2011 Michel Cusin 20
  • 21. Reconnaissance (3) •  Outils •  CeWL •  BiDiBLAH •  BiLE •  Gpscan (Profils Google) •  Gloodin •  Lazy Champ •  Sam Spade •  Foca (Metadata) •  Maltego* •  Etc… © 2011 Michel Cusin 21
  • 22. © 2011 Michel Cusin 22
  • 23. Scanning •  Balayage de ports •  Nmap* •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…) •  « OS Fingerprinting » - Déterminer la version du OS •  actif: Nmap, Xprobe •  Passif: p0f •  Balayage de vulnérabilités •  Nessus*, OpenVAS •  Découverte des vulnérabilités dans le bût de les exploiter © 2011 Michel Cusin 23
  • 25. Metasploit Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante. Interface Utilisateur Exploit 1 Payload 1 Exploit 2 Choix Payload 2 Exploit N Payload N Exploit 2 Payload 1 Stager Launcher Vers la cible © 2011 Michel Cusin 25
  • 26. Metasploit / Meterpreter •  Metasploit* •  Creation et encodage d’un “payload” malicieux (Meterpreter) •  Serveur écoutant les requêtes entrantes des victimes •  Meterpreter* (backdoor résident en mémoire injecté dans un dll) •  Donne un plein accès au poste de la victime •  Communications cryptées •  Lister contenue du poste, les ps, Hashdump, pivot, etc… •  “Shell is just the beginning…” © 2011 Michel Cusin 26
  • 27. Social-Engineer Toolkit (SET) 1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based Attack Vector 7) SMS Spoofing Attack Vector 8) Wireless Access Point Attack Vector 9) Third Party Modules ! © 2011 Michel Cusin 27
  • 28. Attaques de mots de passe •  Guessing: THC Hydra, Medusa; •  Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt) •  Sniffing: Cain, tcpdump, Wireshark; •  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit; © 2011 Michel Cusin 28
  • 29. Attaques de réseaux sans fil •  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…) •  Filtrer par adresses MAC et cacher le SSID = inutile ! •  WEP, WPA, WPA2 -> Tous “crackables” •  Faiblesse au niveau des initialization vector (IV) •  Une authentification robuste est nécessaire •  PEAP (Protected Extensible Authentication Protocol) •  Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu’un réseau filaire. © 2011 Michel Cusin 29
  • 30. Attaques de réseaux sans fil •  Aircrack-ng •  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK) •  Airpwn (Sniff le trafic WiFi) •  Injecte du “faux” trafic (HTTP) - “Race condition” •  AirJack (MITM) •  Désauthentifie, sniff, devient un AP, MITM •  Karma (deviens tout ce que vous demandez) •  DHCP, DNS, HTTP, FTP, POP3, SMB •  Karmetaploit (Karma + Metasploit) •  PwnPlug © 2011 Michel Cusin 30
  • 31. PwnPlug: Hardware •  CPU (1.2 GHz) •  RAM (512 MB SDRAM) •  HDD Flash (512 MB) •  Prise(s) réseau Ethernet •  Port USB 2.0 •  Expension SDHC (flash) © 2011 Michel Cusin 31
  • 32. PwnPlug: Software •  Système d’exploitation: Linux •  Outils: •  Metasploit •  SET (Social Engineer Toolkit) •  Ignuma & Fast-Track •  JTR (John the Ripper) •  Nikto •  Medusa •  Dsniff •  Scapy •  Ettercap •  Kismet •  SSLstrip •  Karma •  Nmap •  Karmetasploit •  Nbtscan •  Aircrack-NG •  Netcat •  WEPbuster © 2011 Michel Cusin 32
  • 33. Réseau sans fil “sécurisé” Réseau local (filaire) Point d’accès sans-fil Serveur d’authentification Chiffrement & authentification (WPA2 - PEAP) Poste Assistant personnel (sans-fil) (iPhone, Blackberry, etc..) © 2011 Michel Cusin 33
  • 34. Réseau sans fil “non sécurisé” Point d’accès sans-fil non sécurisé © 2011 Michel Cusin 34
  • 35. Attaques de sites Web •  Cross-Site Scripting (XSS) •  Cross-Site Request Forgery (XSRF) •  Command Injection •  DDoS •  Injection SQL: sqlmap* © 2011 Michel Cusin 35
  • 36. Garder un accès Backdoors (Poison Ivy) Rootkits: (Applicatif & Kernel) © 2011 Michel Cusin 36
  • 37. Garder un accès •  Telnet, SSH, netcat •  Désactiver ou reconfigurer le coupe-feu de Windows: (C:netsh firewall set opmode=disable) •  VNC, Remote Desktop •  Partage SMB (X.X.X.XC$) © 2011 Michel Cusin 37
  • 38. Effacer les traces © 2011 Michel Cusin 38
  • 39. La sécurité au quotidien •  Restez informé de ce qui se passe •  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais… Il y a plus! •  Connaissez et maitrisez votre environnement •  La sécurité ne s’achète pas, elle se construit. •  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas FAIT mal ! © 2011 Michel Cusin 39
  • 40. Honeypot (Honeynet) •  Un honeypot, ou “pot de miel”, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers. •  Un honeynet est un réseau de honeypots. Surveillance Faible interaction Collecte d'information Haute interaction Analyse d'information http://www.honeynet.org/ © 2011 Michel Cusin 40
  • 41. Analyse de vulnérabilité vs Test d’intrusion AV •  Reconnaissance (ramasser de l’information) Pentest •  Scanning (découvrir les failles) Pentest •  Attaque (exploiter les failles et vulnérabilités) AV Pentest •  Rapports, explications, solutions © 2011 Michel Cusin 41
  • 42. Professionnel de la sécurité vs Pirate •  Planification: •  Type de test et contexte •  Portée (quoi) •  Règles d’engagement (comment) •  Tests: •  Les facteurs temps, portée et règles d’engagement •  La méthodologie •  Maintiens de la stabilité de la cible •  Outils •  Rapports: •  Exécutif, technique •  Explications, solutions, personnalisation © 2011 Michel Cusin 42
  • 43. La gestion des incidents en 6 étapes Préparation Identification Contenir Éradication Rétablissement Leçons apprises © 2011 Michel Cusin 43
  • 44. Conclusion •  La menace est bien réelle et elle est là pour rester! •  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées. •  Testez votre sécurité avant que quelqu’un ne le fasse à votre place… •  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent. •  Pensez différemment, sortez des paradigmes. •  La sécurité est un mode de vie, qui se vie au quotidien •  Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance. Le reste viendra avec… © 2011 Michel Cusin 44
  • 45. En terminant… http://cusin.ca ou michel@cusin.ca © 2011 Michel Cusin 45