cyber sécurité : connaître son adversaire pour mieux parer les attaques

Connaître son adversaire

Sébastien Bischof, IT Security Expert

Grégory Ruch, IT Security Expert

Fribourg, 6 Septembre 2016

INTERVENANTS

Grégory Ruch

Expert en sécurité des systèmes d’information

Master of Science en Technologies de l’Information et de

Communications – HES-SO

Sébastien Bischof

Expert en sécurité des systèmes d’information

Master of Science en Technologies de l’Information et de

Communications – HES-SO

| 06.09.2016 | 2Événement cybersécurité

Signe distinctif: n’est pas votre adversaire !

Signe distinctif: n’est pas votre adversaire !

INTRODUCTION

故曰：知彼知己，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必殆

“Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais

être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque

victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même, perdra

inéluctablement toutes les batailles.”

Sun Tzu (~ 450 ans av. J.-C.)

| 06.09.2016 | 3Événement cybersécurité

Le b.a. - ba – Google search : «Cyber security enemies»

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 4Événement cybersécurité

Adversaire Objectifs Capacités Processus

Cib

lés

Etats, Services

de

renseignement

• Information

• Espionnage

• Lutter contre le

terrorisme / criminalité

• Grande capacité financière

• Concentré sur les bénéfices et

moins sur les coûts

• Acquisition d’expertise et

formation

• Attaques soutenues et

insoupçonnées

Terroristes • Dommages

• Visibilité

• Manipulation,

influencer la politique

• Bonne capacité financière

utilisée pour des attaques

physique et logique.

• Acquisition d’expertise et

formation sur le marché noir

• Attaques physiques et

logiques

Crime

(organisé)

• Argent • Etabli dans le monde des

affaires

• Gain d’argent sur le long-terme

• Le ratio coûts/bénéfices maitrisé

• Groupes existants

• Groupes de spécialistes

organisés spontanément

• Corruption

Opport

unis

tes “Hacktivists” • Visibilité

• Dommages

• Abus de vulnérabilités

sur des systèmes

• Peu d’investissement financier

nécessaire

• Très grande sphère d’influence

• Amateurs et spécialistes très

motivés

• Développement rapidement,

dynamique et imprévisible.

Vandales,

“script kiddies”

• Prestige • Peu de ressources et de

connaissances

• Utilisation d’outils

| 06.09.2016 | 5Événement cybersécurité

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

« Quelles sont les motivations des attaquants ? »

Le profit

| 06.09.2016 | 6Événement cybersécurité

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

« Quelles sont les motivations des attaquants ? »

Le profit

| 06.09.2016 | 6Événement cybersécurité

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

« Quelles sont les motivations des attaquants ? »

Le profit

| 06.09.2016 | 6Événement cybersécurité

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

So

urc

e : h

ttp

://w

ww

.ble

ep

ingco

mpute

r.co

m/

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

So

urc

e : h

ttp

://w

ww

.ble

ep

ingco

mpute

r.co

m/

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

So

urc

e : h

ttp

://w

ww

.ble

ep

ingco

mpute

r.co

m/

CONAITRE SON ADVERSAIRE

| 06.09.2016 | 8Événement cybersécurité

Quels sont les autres motifs des attaquants (1/5)

CONNAITRE SON ADVERSAIRE

■ Justice sociale ou politique

Anonymous is a loosely associated international

network of activist and hacktivist entities.

(www.wikipedia.org)

«United States Army Cyber Command and Second

Army directs and conducts integrated electronic

warfare, information and cyberspace operations as

authorized, or directed, to ensure freedom of action

in and through cyberspace and the information

environment, and to deny the same to our

adversaries.»

(www.arcyber.army.mil)

| 06.09.2016 | 9Événement cybersécurité

Quels sont les autres motifs des attaquants (2/5)

CONNAITRE SON ADVERSAIRE

■ Patriotisme ou idéologie

«Groups of patriotic Eastern European hackers are using cyberattacks as a

means to achieve Russia’s geopolitical goals.» (www.foxnews.com)

| 06.09.2016 | 10Événement cybersécurité

Quels sont les autres motifs des attaquants (3/5)

CONNAITRE SON ADVERSAIRE

■ Sabotage

«Stuxnet changed the game in our awareness», Phyllis Schneck, vice president

and chief technology officer for public sector at McAfee, said in an interview.

«Attacks are being developed directly for the capability of creating events

on a physical infrastructure.»

| 06.09.2016 | 11Événement cybersécurité

Quels sont les autres motifs des attaquants (4/5)

CONNAITRE SON ADVERSAIRE

■ Ego ou vanité

“Anonymous claims that a cyberattack launched against Israeli government Web

sites this weekend has caused billions of dollars of damage, although Israeli

officials say there have been no major disruptions.” (www.cnet.com)

| 06.09.2016 | 12Événement cybersécurité

Source: xkcd.com

Quels sont les autres motifs des attaquants (5/5)

CONNAITRE SON ADVERSAIRE

■ Vengeance

| 06.09.2016 | 13Événement cybersécurité

Evolution

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 14Événement cybersécurité

Evolution - Idées préconçues vs. réalité

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 15Événement cybersécurité

Evolution - Idées préconçues vs. réalité

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 15Événement cybersécurité

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

■ The 15th of August, an unknown group called Shadow Brokers started an

auction after claiming they hacked Equation Group (NSA entity named like

that by Kaspersky, and believed to be the author of Stuxnet & Flame)

| 06.09.2016 | 16Événement cybersécurité

Source: https://medium.com/@msuiche

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 17Événement cybersécurité

Source: https://medium.com/@msuiche

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 18Événement cybersécurité

Source: https://medium.com/@msuiche

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 19Événement cybersécurité

Source: https://medium.com/@msuiche

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 20Événement cybersécurité

Source: https://medium.com/@msuiche

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 20Événement cybersécurité

Source: https://medium.com/@msuiche

CRM dans le cloud

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 21Événement cybersécurité

Ce nouveau CRM,

on le met chez nous

ou dans le cloud?

CRM dans le cloud

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 21Événement cybersécurité

Les utilisateurs

consomment le service

CRM cloud à travers un

canal sécurisé

Il est très probable que le CRM soit

hébergé dans une infrastructure de

virtualisation.

Les Administrateurs ont accès à

l’hyperviseur et ses fonctions

d’administration mais pas à la

machine virtuelle et ne peuvent donc

pas déchiffrer le trafic.

Dans le cloud!

CRM dans le cloud

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 22Événement cybersécurité

A l’aide de ses outils standards, l’administrateur de l’hyperviseur peut facilement:

1. Détecter une connexion SSL/TLS entrante

2. Faire un «dump» de la mémoire de la machine virtuelle du CRM

A l’aide d’un peu d’automatisation il peut:

3. Récupérer la clé privée SSL du dump de la mémoire

4. Déchiffrer le trafic et obtenir les données en clair en temps réel!

Si les données étaient chiffrées

directement depuis le poste de l’utilisateur

puis stockées de la même façon dans le

cloud, cette attaque n’aurait pas d’impact!

L’occasion fait le

larron! Si la

possibilité existe, le

risque également!

10 Basic Cybersecurity Measures

CHECKLIST

■ Maintain an Accurate Inventory of Control System Devices and Eliminate Any

Exposure of this Equipment to External Networks

■ Implement Network Segmentation and Apply Firewalls

■ Use Secure Remote Access Methods

■ Establish Role-Based Access Controls and Implement System Logging

■ Use Only Strong Passwords, Change Default Passwords, and Consider Other

Access Controls

■ Maintain Awareness of Vulnerabilities and Implement Necessary Patches and

Updates

■ Develop and Enforce Policies on Mobile Devices

■ Implement an Employee Cybersecurity Training Program

■ Involve Executives in Cybersecurity

■ Implement Measures for Detecting Compromises and Develop a Cybersecurity

Incident Response Plan

| 06.09.2016 | 23Événement cybersécurité

Source: https://ics-cert.us-cert.gov

10 Basic Cybersecurity Measures

CHECKLIST

| 06.09.2016 | 23Événement cybersécurité

Source: https://www.bsi.bund.de

Souvenez-vous ! Un adversaire attaque toujours à deux occasions:

CONNAITRE SON ADVERSAIRE

Lorsqu’il est prêt.

Lorsque vous ne l’êtes pas.

| 06.09.2016 | 24Événement cybersécurité

Source https://twitter.com/thegrugq

ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11

ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11

www.elca.ch

Contact

Thank you.

| © ELCA

Sébastien Bischof

| 06.09.2016 | 25Événement cybersécurité

IT Security Expert

Sebastien.bischof@elca.ch

+41 21 613 22 80

Grégory Ruch

IT Security Expert

Gregory.ruch@elca.ch

+41 21 613 22 69