la sécurité informatique
Post on 20-Jun-2015
1.773 Views
Preview:
TRANSCRIPT
La sécurité informatique:
Risques et enjeux
MANSOURI SEIFEDDINE FERJANI SABER 8 février 2012
2
Sommaire
1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures
3
Pourquoi la sécurité ?
Protéger la réputation Satisfaire aux exigences légales Eviter des pertes financières La sécurité = {mesures} permettant
d’assurer la protection de l’information & Systèmes Interception: vise la confidentialité des
informations Modification: vise l’intégrité des informations Interruption: vise la disponibilité des
informations Fabrication: vise l’authenticité des informations
4
Se protéger contre qui ?
Externes Pirates Saboteurs Concurrents Anciens employés Organisations criminelles
Internes Employés mécontents Fraudeurs Complices / Espions Innocents employés
5
La gestion de risques
Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact.
Risque = Vulnérabilité Ÿ Menace Ÿ Impact Contre mesure
Risque = Vulnérabilité Ÿ Menace Ÿ Impact Contre mesure
Vulnérabilité:Clés sous le tapis.
Menace: Cambrioleur essaie d’entrer.
Impact: Cambrioleur casse l’armoire, vole de l’argent, crée des ennuis.
6
Que faut il faire ?
SINON???
7
Sommaire
1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures
8
Motivation
Le gain financier: Récupération de num de cartes bancaires, ...
Vengeance: Site www.aljazeera.net lors de la couverture de la guerre d'irak
Curiosité: Attaques d'étudiants du MIT sur le premier ordinateur IBM 704 au MIT en 1959.
Recherche d'émotions fortes
9
11
Cyber arme STUXNET
Stuxnet est un ver de complexité très inhabituelle pour un malware. Il a été décrit par différents experts comme une cyber arme, conçue pour attaquer une cible industrielle déterminée. Il s'agirait d'une première dans l'histoire.Découvert en juin 2010, il a affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran.Le général israélien Gabi Ashkenazi a affirmé, lors de son départ à la retraite, être le père du ver Stuxnet.
12
http://www.youtube.com/watch?v=7g0pi4J8auQ&feature=youtube_gdata_player
13
Sommaire
1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures
14
Types de menaces
1. Programmes malveillants• Virus• Vers• Spyware• porte dérobée/Backdoors• Cheval de Troie
2. Techniques d’attaques• ARP/DNS Poisoning• Phishing• Injection• Déni de services• IP Spoofing
15
Les Virus
Un virus est un logiciel qui s’attache à tout type de document électronique, et dont le but est d’infecter ceux-ci et de se propager sur d’autres documents et d’autres ordinateurs. Un virus a besoin d’une intervention humaine pour se propager.
16
Les Vers (WORM)
Un ver se reproduit en s’envoyant à travers un réseau (e-mail, Bluetooth, chat..) Le ver n’a pas besoin de l’interaction humaine pour pouvoir se proliférer
17
Les spywares
Les spywares sont des logiciels parasites indétectables. Ils n'ont pas une action destructive (comme les virus), mais servent à espionner vos habitudes et vos "besoins", pour des buts "commerciaux malsains".
18
Cheval de Troie
Programme bénin (jeux, documents…) cachant un autre programme. Lorsque le programme est exécuté, le programme caché s’exécute aussi et pourrait ouvrir une « porte cachée ».
19
porte dérobée/Backdoors
Moyen de contourner les mécanismes de sécurité ; il s’agit d’une faille du système de sécurité due à une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier).Ces passages secrets sont ménagés par les concepteurs de logiciels pour fournir des accès privilégiés pour les tests ou la maintenance.
20
Rootkit
Code malicieux permettant à un attaquant de maintenir en temps réel un accès frauduleux à un système informatique, se greffant généralement dans le noyau du système d'exploitation.
A la différence d'un virus ou d'un ver, un rootkit ne se réplique pas.
Agit sur une machine déjà compromise. Il est utilisé dans une étape après intrusion et l'installation d'une porte dérobée pour cacher tous les changements effectués lors de l'intrusion afin de préserver l'accès à la machine.
21
Types de menaces
1. Programmes malveillants• Virus• Vers• Spyware• porte dérobée/Backdoors• Cheval de Troie
2. Techniques d’attaques• ARP/DNS Poisoning• Phishing• Injection• Déni de services• IP Spoofing
22
ARP Poisoning
L'objectif de l'attaque consiste à s'interposer entre deux machines du réseau et de transmettre à chacune un paquet falsifié indiquant que l'adresse MAC de l'autre machine a changé, l'adresse ARP fournie étant celle de l'attaquant.De cette manière, à chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice.
23
spoofing IP
L'«usurpation d'adresse IP» (spoofing IP) est une technique consistant à remplacer l'adresse IP de l'expéditeur IP par l'adresse IP d'une autre machine.En effet, un système pare-feu fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées à communiquer avec les machines internes au réseau. L’usurpation d’IP permet de contourner le mur de feu.
24
spoofing IP
Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et sera relayé à la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejeté par le pare-feu.
25
phishing
Le phishing traduit parfois en «hameçonnage», est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.La technique du phishing est une technique d'ingénierie sociale, c'est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.
26
Déni de services
Une « attaque par déni de service » est un type d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent être utilisés et consultés, On distingue deux types: Les dénis de service par saturation Les dénis de service par exploitation de
vulnérabilités
27
Déni de services distribué (DDoS)
28
Injection
Une faille d'injection, telle l'injection SQL, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées.
29
Faille XSS
Le cross-site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d'informations, etc.). Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X étant une abréviation commune pour « cross » (croix) en anglais.
30
Injection de données arbitraires par XSS
31
Depassement de tampon
Le dépassement de tampon ou débordement de tampon (en anglais, buffer overflow) est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus.Lorsque le bug se produit non intentionnellement, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système.
32
Hijacking
Un pirate peut craquer (cible) le mot de passe de la session. Mais si vous choisissez un mot de passe robuste, cela lui prendra beaucoup de temps. Alors pourquoi ne pas attendre que la victime se connecte sur la session et prendre sa place ?
33
OWASP Top 10 Risk Rating Methodology
34
Sommaire
1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures
35
Problèmes de Sécurité sur Internet
Toute information circulant sur Internet peut être capturée et enregistrée et/ou modifiée
Problème de confidentialité et d’intégrité Toute personne peut falsifier son adresse
IP (spoofing) ce qui engendre une fausse identification
Problème d’authentification
36
Cryptologie
La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages en s'aidant souvent de secrets ou clés.La cryptanalyse est la science qui consiste à tenter de déchiffrer un message ayant été chiffré sans posséder la clé de chiffrement.
37
Cryptographie
Algorithmes de chiffrement faibles ROT13, Chiffre de César, Chiffre de Vigenère.
Algorithmes de cryptographie symétrique Chiffre de Vernam, DES, 3DES, AES, RC4, RC5
Algorithmes de cryptographie asymétrique RSA (chiffrement et signature), DSA (signature)
Diffie-Hellman (échange de clé) Fonctions de hachage
MD5, SHA-1, SHA-256 ;
38
Cryptographie Symétrique
39
Cryptographie Symétrique
Utilise des opérations de base: Substitution, Transposition, Opérations algébriques simples
DES : Data Encryption Standard Développé par IBM Utilise des clé de taille 56 bits.
AES : Advanced Encryption Standard Standard cryptographique depuis 2000 Utilise des clés de tailles 128, 192 et 256 bits
40
Cryptographie Asymétrique
Chaque personne dispose d’une paire de clé : Clé privée : connue uniquement par son propriétaire Clé publique : publiée dans des annuaires publiques
Si on crypte avec l’une de ces clés le décryptage se fait uniquement avec l’autre
Les algorithmes asymétriques sont des fonctions mathématiques basées sur des problèmes mathématiques très compliqués
La résolution de ces problèmes est pratiquement impossible sans connaître un paramètre (l’une des clés)
41
Mode 1: cryptage
Ce mode assure la confidentialité des données
42
Mode 2: signature
Ce mode assure l’authenticité de l’émetteur
43
Fonctions de Hashage
Fonctions à sens unique : pour un entier x, il est simple de calculer H(x), mais étant donner H(x), il est pratiquement impossible de déterminer x
La fonction de hashage permet d’extraire une empreinte qui caractérise les données
Une empreinte a toujours une taille fixe indépendamment de la taille des données
Il est pratiquement impossible de trouver deux données ayant la même empreinte
44
Signature Électronique
Exemples:• MD5 : Message Digest
5 (empreinte de taille 128 bits)
• SHA-1 : Secure Hash algorithm (empreinte de taille 160 bits)
45
La certification électronique
Les crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle Attack
Solution : Certificats électroniques
46
Pretty Good Privacy
D'après Zimmermann :« Que se passerait-il si tout le monde estimait que les citoyens honnêtes devraient utiliser des cartes postales pour leur courrier ? Si un non-conformiste s’avisait alors d’imposer le respect de son intimité en utilisant une enveloppe, cela attirerait la suspicion. Peut-être que les autorités ouvriraient son courrier pour voir ce que cette personne cache. De la même manière, ce serait excellent si tout le monde utilisait la cryptographie de manière systématique pour tous ses e-mails, qu’ils soient innocents ou non, de telle sorte que personne n’attirerait la suspicion en protégeant l’intimité de ses e-mails par la cryptographie. Pensez à le faire comme une forme de solidarité. »
47
Cryptanalyse
L'analyse fréquentielle L'indice de coïncidence L'attaque par mot probable L'attaque par dictionnaire L'attaque par force brute Cryptanalyse linéaire Cryptanalyse différentielle Cryptanalyse différentielle-linéaire Cryptanalyse quadratique et modulo N
48
Wired Equivalent Privacy
En 2005, une équipe du FBI des États-Unis d'Amérique fit la démonstration qu'il est possible de pénétrer un réseau protégé par du WEP en 3 minutes en utilisant des outils disponibles publiquement (Aircrack)
Depuis juillet 2006, il est possible de pénétrer les réseaux protégés par WEP en quelques secondes seulement, en tirant parti de la fragmentation des paquets pour accélérer le cassage de la clé.
49
Wi-Fi Protected Access
En novembre 2008, deux chercheurs allemands en sécurité ont annoncé avoir découvert une faille de sécurité dans le mécanisme de sécurité WPA utilisé avec l'algorithme TKIP. A la fin du mois d'août 2009, deux japonais mettent au point une attaque permettant, en une minute, de falsifier des paquets de type ARP ou DNS. Celle-ci utilise une amélioration de l'attaque Beck-Tews en la combinant à une attaque de type "middle-man".
50
Sommaire
1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures
51
ANSI - TunCERT
52
Qu’est-ce qu’un CERT?
Un CSIRT est une équipe d’experts en sécurité informatique ayant pour mission principale de répondre aux incidents en proposant les services nécessaires au traitement des attaques et en aidant leurs parties prenantes à restaurer les systèmes qui en ont fait l’objet.
Ils publient des bulletins et avis de vulnérabilités concernant les logiciels et matériels en usage, et informent les utilisateurs des exploits et virus tirant parti des failles constatées.
53
Le cyber espace tunisien
Bande passante : 37 Gbps 10395 sites 447 009 abonnés
Année Plage IP Nombre
2000 193.95.0.0 - 193.95.127.255 32768
2002 196.203.0.0 - 196.203.255.255 98304
2005 213.150.160.0 - 213.150.191.255
106496
2007 41.224.0.0 - 41.231.255.255 630784
2010 197.0.0.0 - 197.31.255.255 2727936
54
Carte des attaques
55
Entretien
Mr. Hassen BAHRI Manager du tunCERT
NACS (2002 – 2005) ENSI (1999 – 2002 ) IPEIT (1997 – 1999 )
Date de l’entretien: 27 janvier 2012 Durée: 1H30
tunCERT-Tunisian Computer Emergency Response TeamAgence Nationale de la Sécurité Informatique
Ministère des technologies de l'information et de la communication Adresse: 94, Av Jugurtha, Mutuelle Ville,
1002 Tunis, TunisieTel: 71 843 200 Fax: 71 846 363 Site web: www.ansi.tn
56
Sommaire
1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures
57
Aucun des mécanismes de sécurité ne suffit par lui-même. Il
les faut tous !
Sécurité Organisationnell
e
Sécurité des utilisateurs
Sécurité Applicative
Sécurité des serveurs
La sécurité réseau
58
vérification de la sécurité
La mise à jour du système d’exploitation et même pour les systèmes mobiles afin de s’assurer de l’absence de toute faille connue qui pourrait être utilisée par des pirates ou par des virus.
La mise à jour de l’antivirus. Vérifiez s’il y a des symptômes indiquant que votre
ordinateur est infecté ou non (Lenteur anormale, paramètres systèmes modifiés, redirection du navigateur vers des sites non sollicités, affichage de Pop-up, endommagement de fichier, logiciel qui fonctionne anormalement). Au cas échéant lancez un scan antiviral complet sur votre disque.
59
Règles simples et très efficaces
Sauvegarde régulière de vos fichiers sensibles sur des supports amovibles.
Ne pas installer des logiciels douteux, et notamment ceux de partage de fichiers ou de contrôle de PC à distance.
Eviter la navigation sur les sites douteux, surtout ceux qui offrent des logiciels craqués ou à contenu indécent.
Utiliser des mots de passe robustes et difficiles à deviner. N’oublier pas de les changer périodiquement ou en cas de soupçon.
Hors d’usage, il faut éteindre l’ordinateur. Avoir le bon réflexe en cas d’incident : déconnectez
votre PC, lancez un scan antiviral et contacter le tunCERT pour demander de l’assistance.
60
Pour les administrateurs web S’assurer de la sécurité au niveau de la plateforme
d’hébergement ou déléguer cette tâche à votre hébergeur. Vérifier le déploiement des solutions de sécurité nécessaires:
contrôle antiviral, filtrage, détection d’intrusion et filtrage applicatif.
S’assurer de l’utilisation des dernières versions des systèmes de gestion de contenu (CMS comme Joomla, Drupal, WordPress, Typo3), si le cas se présente.
Auditer votre application web pour identifier les failles qui peuvent être exploitées, en faisant appel à un expert dans le domaine si c’est possible.
Appliquer les bonnes règles de gestion : Contrôle d’accès à la zone d’administration, gestion de mots de passe, vérification des logs, sauvegarde des données, plan de secours en cas de problème majeur, utilisation des protocoles sécurisés pour l’administration à distance (HTTPS, SSH, SCP).
Avoir une procédure de veille pour s’informer sur les nouvelles failles et appliquer les correctifs en un temps optimal (mailing-list du tunCERT).
Vérifier la sécurité de votre poste d’administration.
61
Merci
www.securinets.com www.honeynet.tn www.ansi.tn
top related