chamseddine talhi École de technologie supérieure (Éts ......• les clients bittorrent peuvent...

Chamseddine Talhi

École de technologie supérieure (ÉTS)

Dép. Génie logiciel et des TI

Les enjeux de la sécurité

informatique

1

Plan

• Motivations & contexte

• Actualités

• Vulnérabilités – porte d’entrée

• Objectifs de la sécurité informatique

• Analyse de risques

• Approche traditionnelle

• Approche holistique

• ConclusionChamseddine Talhi, ÉTS

2

• Effet surprise

Cheval de Troie

3

Chamseddine Talhi, ÉTS

Motivation & Contexte

• Chemins non empruntés auparavant

Traversée des Alpes

(Hannibal 218 av. J.-C)


4



5

Pointe de l'iceberg

Les victimes ne déclarent pas les

violations

Les incidents les plus visibles sont les

plus médiatisés

Exemple - Les banques ne sont pas

obligés de divulguer les vols effectués

sur les comptes de leurs clients.


6


Motivation & ContexteUn classique: les malwares (virus )

Snifula (Sep 2014) : trojan qui a attaqué les institutions financières japonaises.

njRAT (2013-2015) : qui a attaqué les institutions financières au moyen orient.

Statistiques de nouvelles variantes de malwares :

Environ 1 million de

Malware par jour

7



Le marché mondial du logiciel de sécurité aurait connu une croissance de

5,3% de ses revenus en 2014.

Les revenus mondiaux tirés de la vente de logiciels de sécurité ont atteint :

2014 : 21,4 milliards de dollars

2013 : 20,3 milliards de dollars

Carbanak

100 institutions financières sont victimes d’attaques informatiques par un

groupe inconnu, depuis fin 2013.

Les attaques ont atteint 1 milliard de dollars .

Dans certains cas, une seule attaque aurait permis de dérober jusqu’à 10

millions de dollars.

8



9


« 2000 échantillons de logiciels malveillants Android découverts chaque jour »

(Sophos, 2014)

SOURCE: Sophos, “Mobile Security Threat Report”, 2014, http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-security-threat-report.pdf

2 ans d'évolution de logiciels malveillants mobiles

20 ans d'évolution de logiciels malveillants de bureautique traditionnels


http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-security-threat-report.pdf

Actualités!

10

5 août 2015- Royaume-Uni : les données de

2,4 millions clients de Carphone piratées Carphone : un des plus importants distributeurs de smartphones au

Royaume-Uni.

Ce piratage massif pourrait impliquer le vol des détails de 90 000 cartes

bancaires.

Cette attaque sophistiquée a probablement été lancée deux semaines

avant sa découverte.

La compagnie a aussitôt annoncé la fermeture des sites Internet affectés,

pris des mesures pour déterminer la nature des données compromises et

informer les clients concernés par cette attaque.


Source: http://www.lemondeinformatique.fr

http://www.lemondeinformatique.fr/

Actualités!

11

20 juillet 2015 - Ashley Madison piraté :

l'identité de 37 millions d'infidèles bientôt

dévoilée

Cyber-pirates ‘Impact Team’ menace de diffuser les coordonnées de

37 millions clients ainsi que toutes sortes de documents confidentiels si ce site

ainsi qu'Established Men ne sont pas mis hors ligne!

Dérobés chez d'Avid Life Media : détails concernant l'infrastructure IT

du site, données de ventes et marketing, d'autres relatives aux clients, etc.

« Nous les avons complètement piraté et pris l'ensemble de leurs

domaines de production et de bureautique, les bases de données de tous leurs

clients sur plusieurs années, les répertoires de code source,

des enregistrements financiers, de la documentation

et des e-mails. Et cela a été facile.

Pour une société qui promet d'être discrète,

c'est comme si ils n'avaient jamais cherché à l'être »Chamseddine Talhi, ÉTS



Anecdotes!

12

20 juillet - Ashley Madison piraté : l'identité

de 37 millions d'infidèles bientôt dévoiléeAfin de prouver l'existence de ce piratage et faire pression sur ALM,

40 Mo de données ont été mis en ligne, incluant des détails partiels de

transactions bancaires ainsi que d'autres documents provenant des données

serveurs d'ALM.

Certains fichiers sont relatifs à des craintes de sécurité multiples

émises par la société : défaillance de processus, mise en défaut de la

gouvernance, vulnérabilités XSS et injection SQL, infections de malwares

sur le réseau, attaques man-in-the-middle

On apprend qu'ALM a gagné 1,7 million de dollars

en 2014 en facturant 19 dollars les utilisateurs souhaitant

faire disparaître leurs informations personnelles sur le site!

Détails publiés en ligne le 19 août!

Fin mai, 3,9 millions d'adresses mail piratés du site

AdultFriendFinder en mars dernier, a été mise en vente

pour 70 bitcoins …Chamseddine Talhi, ÉTS



Anecdotes!

13

Piratage des voitures!

2013 : vulnérabilités exploitées:

https://www.youtube.com/watch?v=oqe6S6m73Zw

2015 : Une Jeep piratée à distance par 2 hackers

2015 : une autre démo: https://www.youtube.com/watch?v=3jstaBeXgAs



https://www.youtube.com/watch?v=oqe6S6m73Zw

https://www.youtube.com/watch?v=MK0SrxBC1xs

https://www.youtube.com/watch?v=3jstaBeXgAs


Anecdotes!

14

Piratage des voitures!

• Chrysler rappelle 1,4 million de voitures exposées à un piratage à distance

quelques jours après un article de Wired sur la vulnérabilité des véhicules

connectés qui explique comment deux hackers, Charlie Miller et Chris Valasek,

ont réussi à prendre le contrôle d'une Jeep Cherokee fabriquée par Fiat/Chrysler.

• Charlie Miller et Chris Valasek travaillent depuis plusieurs mois avec Chrysler

qui a déjà livré un correctif début juillet. Mais l'attention des médias sur

l’évènement a poussé le constructeur à faire un rappel de ses véhicules.

• « Le piratage à l’origine de ce rappel demande des connaissances techniques

uniques et très complexes, un accès physique prolongé à un véhicule témoin

et beaucoup de temps pour écrire du code ».

• Deux sénateurs américains Ed Markey et Richard Blumenthal ont déposé la

semaine dernière une proposition de loi obligeant les constructeurs automobiles

à mieux protéger leurs véhicules contre les pirates informatiques.

• Projet de loi intitulé Security and Privacy in Your Car Act 2015!

Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr


Anecdotes!

15

Vulnérabilités et failles!

• Black Hat 2015 : la faille Certifi-Gate permet un contrôle distant sous

Android

• Certifi-Gate permet à des pirates d'accéder sans restriction à l'appareil via des

applications et ainsi, selon Check Point, « de dérober des données

personnelles, localiser les appareils, activer le microphone pour enregistrer

des conversations, et plus encore ».

• Certains fabricants de smartphones ont préchargé de façon non sécurisée des

outils de support à distance sur leurs terminaux Android, ce qui fournit aux

pirates un moyen de prendre le contrôle de ces terminaux à travers des apps

malveillantes ou même des messages SMS!

• Google a confirmé cette vulnérabilité, selon le site Golem. Mais Check Point

rappelle qu'Android ne dispose d'aucun moyen de révoquer des certificats

fournissant des autorisations privilégiées. Seule une mise à jour du système

d'exploitation pourra permettre de supprimer cette faille de sécurité.



Anecdotes!

16


• Les clients BitTorrent peuvent servir à amplifier les attaques DDoS

• Sur la conférence Usenix, quatre chercheurs universitaires ont expliqué

comment des attaques DDoS pouvaient être lancées en répercutant le trafic

généré par des millions d'ordinateurs utilisant BitTorrent.

• Dans un article présenté la semaine dernière sur le Workshop on Offensive

Technologies (WOOT 2015), ils ont montré comment des programmes tels que

uTorrent, Vuze ou le client BitTorrent d’origine (Mainline) pouvaient aider

des attaquants à amplifier jusqu’à 50 fois le trafic DDoS

• Le protocole BitTorrent Sync (BTSync), également utilisé pour la

synchronisation de fichiers peer-to-peer, peut être exploité avec un facteur

d’amplification allant jusqu’à 120


https://www.usenix.org/system/files/conference/woot15/woot15-paper-adamsky.pdf


Anecdotes!

17


• Un jeune développeur italien a repéré deux failles zero-day dans l’OS Mac

OS X d'Apple pouvant entraîner la prise de contrôle à distance d’une machine.

• Découverte intervient une semaine après la livraison par Apple d'un correctif

pour la faille (dyld_print-to-file) d’élévation de privilèges dans la version

10.10.x d’OS X.

• Luca Todesco, 18 ans, a publié sur GitHub les détails d'un programme

exploitant deux bogues pour entraîner une corruption de la mémoire dans le

noyau d’OS X. La mémoire corrompue peut alors être utilisée pour

contourner le kernel Address Space Layout Randomization (kASLR), une

technique défensive conçue pour empêcher le code malveillant de

fonctionner. L'attaquant atteint alors le root shell.

• Cette vulnérabilité touche les versions 10.9.5 à 10.10.5 d’OS X, mais pas El

Capitan, la version bêta du prochain OS d’Apple, dont les mécanismes de

sécurité ont été renforcés.


https://www.sektioneins.de/blog/15-07-07-dyld_print_to_file_lpe.html

http://www.lemondeinformatique.fr/toute-l-actualite-marque-sur-apple-1.html

https://twitter.com/qwertyoruiop

https://github.com/kpwn/tpwn


Vulnérabilités

18


VulnérabilitésUn long chemin: détection, annonce, correction

19


Hitachi Vulnerability Disclosure Process

Source: http://www.hitachi.com/hirt/publications/

http://www.hitachi.com/hirt/publications/hirt-pub10008/

Une question d’analyse de risque:

Vraisemblance

Impact

20


Vulnérabilités

21

Vulnérabilités


Source: http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-

Vulnerabilities-Exploits-Patches-and-Security.aspx

http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspx

Nom Annonce Exploit Intervalle

SQLsnake 27 novembre 2001 22 mai 2002 176

CodeRed 19 juin 2001 19 juillet 2001 30

NimdaPlusieurs vecteurs

15 mai 2001

6 août 2001

3 avril 2001

18 septembre 2001 126

42

168

Slapper 30 juillet 2002 14 septembre 2002 45

Scalper 17 juin 2002 28 juin 2002 11

Adapté de J. Nazario, Defense and Detection Strategies against Internet Worms, 2004

22

VulnérabilitésDe l’annonce à l’exploit!

Jean-Marc Robert, ÉTS

23

Vulnérabilités


C’est autant de possibilités pour des attaques

• NIST – National Vulnerability Database

(http://nvd.nist.gov/)

• 89992 CVE Vulnerabilities (08 sep 2017)

http://nvd.nist.gov/

http://cve.mitre.org/

Information security is the protection of information

[Assets] from a wide range of threats in order to

ensure business continuity, minimize business risks

and maximize return on investment and business

opportunities.

Adapté de Norme ISO 17799:2005.

Objectif 1

24

Objectifs de la sécurité


The purpose of information security governance is to ensure that

[enterprises] are proactively implementing appropriate information

security controls to support their mission in a cost-effective

manner, while managing evolving information security risks.

As such, information security governance has its own set of

requirements, challenges, activities, and types of possible structures.

Information security governance also has a defining role in

identifying key information security roles and responsibilities, and it

influences information security policy development and oversight

and ongoing monitoring activities.

Adapté de NIST Special Publication 800-100 – Information Security

Handbook: A Guide for Managers

25

Objectif 2



• Base de données Clients

– Vente et Marketing

• Base de données Employés

– Ressources humaines

• Portail web

– Vente directe ou indirecte

• Code source d’une application

– Équipe de développement

• Base de données Usagers

– Équipe des TI

Les actifs informationnels représentent l’ensemble des données et des

systèmes d’information nécessaires au bon déroulement d’une entreprise.

26

Les actifs



Le trio du CID:

Confidentialité

Disponibilité

Intégrité

27

Les propriétés



28

Confidentialité



• Menaces

– Surveillance du réseau

– Vol de fichiers

• Fichiers de mots de passe

• Fichiers de données

– Espionnage

– Ingénierie sociale

• Contre-mesures

– Cryptographie

• Chiffrement

– Contrôle d’accès

• Mot de passe à usage

unique

• Biométrie

– Classification des actifs

– Formation du personnel

Propriété d’une donnée dont la diffusion doit être

limitée aux seules personnes ou entités autorisées.

29

Intégrité



Propriété d’une donnée dont la valeur est conforme à

celle définie par son propriétaire.

• Menaces

– Attaques malicieuses

• Virus

• Bombes logiques

• Portes dérobées

– Erreurs humaines

• Contre-mesures

– Cryptographie

• Authentification, signature

– Contrôle d’accès

• Mot de passe à usage unique

• Biométrie

– Système de détection d’intrusion


Si cette propriété n’est pas respectée pour certains actifs, cela

peut avoir des impacts sur la confidentialité de d’autres actifs.

30

Disponibilité



• Menaces

– Attaques malicieuses

• Dénis-de-service

– Inondation

– Vulnérabilités logicielles

– Attaques accidentelles

• Flashcrowd – Slashdot effect

– Pannes

• Environnemental, logiciel,

matériel

• Contre-mesures

– Pare-feu

– Système de détection d’intrusion


Propriété d'un système informatique capable d'assurer

ses fonctions sans interruption, délai ou dégradation,

au moment même où la sollicitation en est faite.

• La sécurité de l’information consiste à protéger

les actifs informationnels afin d’assurer

l’intégralité de leurs propriétés.

• Les actifs et leurs propriétés sont définis par les

objectifs d’affaire.

Objectif de la sécurité informatique

(reformulé)

31



Connais ton ennemi et connais-toi toi-même; eussiez-vous

cent guerres à soutenir, cent fois vous serez victorieux.

Si tu ignores ton ennemi et que tu te connais toi-même, tes

chances de perdre et de gagner seront égales.

Si tu ignores à la fois ton ennemi et toi-même,

tu ne compteras tes combats que par tes défaites.

Sun Tzu, approx. 4ième siècle av.

34

Analyse de risquesUne vieille histoire


35

Approche traditionnelle


• Le rôle des responsables des TI

– Se basant sur le fait que les systèmes informatiques

sont intrinsèquement vulnérables (bogues de

logiciel, mauvais design, …), les responsables des

TI doivent mettre en place les moyens de résister

aux diverses menaces afin de protéger les actifs de

leurs entreprises.

36



• Déployer une infrastructure adéquate résistant aux attaques et assurant l’intégralité des actifs (et leurs propriétés).

– Prévention

• Contrôle d’accès

• Mise à jour des logiciels

• Pare-feu, Systèmes de prévention d’intrusion (SPI)

– Détection

• Antivirus

• Systèmes de détection d’intrusion (SDI)

• Audit

– Réaction

• Pare-feu

Veille technologique à la recherche des vulnérabilités.

CERT , NIST, Virus Bulletin, Microsoft, Bugtraq…

Les objectifs techniques de la sécurité

37



… et les façons de les atteindre!

• Protéger le périmètre du réseau.

– Pare-feu, SDI, SPI

• Protéger les serveurs publics.

– Logiciels mis à jour régulièrement

– Zones démilitarisées

• Partitionner le réseau interne.

– Contrôle d’accès, pare-feu, SDI, SPI

• Protéger les serveurs internes et les usagers.

– Logiciels mis à jour régulièrement

– Antivirus

40



• NIST –Département du commerce, É.-U.– SP 800-100 Information Security Handbook: A Guide for Managers

– SP 800-97 Draft, Guide to IEEE 802.11i: Robust Security Networks

– SP 800-94 Draft, Guide to Intrusion Detection and Prevention (IDP) Systems

– SP 800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals

– SP 800-41 Guidelines on Firewalls and Firewall Policy

• ISO– ISO/IEC 17799:2005(E) – Code of Practice for Information Security Management.

– ISO/IEC 21287:2002 – System Security Engineering – Capability Maturity Model.

• US-CERT – Software Engineering Institute de CMU– Defense in Depth: Foundations for Secure and Resilient IT Enterprises

– Advanced Information Assurance Handbook

• Amazon.ca– 1229 livres sont proposés en utilisant les mots clé: Information Security.

• Google.ca– Ce que vous cherchez s’y trouve. Bonne chance!

L’information est disponible – même trop !

42

Approche holistique


• La sécurité des logiciels est donc critique!

– 50 % des vulnérabilités proviennent des erreurs de

conception.

– 50 % des vulnérabilités proviennent des erreurs

d’implémentation.

• Dépassement de mémoire et d’entier

• Concurrence critique

• Microsoft’s Trustworthy Computing Initiative

– Mémo de Bill Gates en janvier 2002 présente la nouvelle

approche de Microsoft de développer des logiciels sécurisés.

– Microsoft aurait dépensé plus de 300 millions USD.

– The Trusthworthy Computing Security Development

Lifecycle.

43

Approche holistique


• Sécurité du logiciel – Robustesse

– Gestion du risque

• Actifs, menaces, objectifs, …

– Cycle de développement du logiciel

– Bases de connaissance

44

Approche holistique


• Intégration d’activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d’efficacité – subjectif)– Code review, Risk analysis, Penetration testing, Security tests, Abuse

cases, Security requirements, Security operations

Requirements

Use Cases

Architecture

Design

Test

PlansCode

Tests

Test Results

Feedback

Deployment

Adapté de Software Security by McGraw

•Risk analysis

•Abuse cases

•Security req.

•Risk analysis

•Risk-based

security tests

•Code review

(Tools)

•Risk analysis

•Penetration

testing

•Penetration

testing

•Security

operations

Cycle de développement du logiciel

45

Approche holistique


• Le domaine de la sécurité du logiciel est naissant. Peu d’information est disponible.

+ le site web https://buildsecurityin.us-cert.gov/

– http://www.youtube.com/watch?v=EC96jdaNYWo&feat

ure=related

– http://www.youtube.com/watch?v=9H07Hxl_ifQ&featur

e=related


46

Esprits criminelsCréativité sans limites!

http://www.youtube.com/watch?v=EC96jdaNYWo&feature=related

http://www.youtube.com/watch?v=9H07Hxl_ifQ&feature=related

47

Conclusion• Connaissez-vous vous-même.

– Déterminer les actifs qui doivent être protégés et leurs propriétés.

– Déterminer les objectifs à atteindre.

• Connaissez vos ennemis.

– Déterminer les menaces contre lesquelles ils doivent être protégés.

• Reposez-vous sur les épaules de géants.

– Veille technologique, base de connaissances.

– Principes, guides et règles connues.

Ne jamais dire: ceci est impossible, ils ne peuvent faire cela.


chamseddine talhi École de technologie supérieure (Éts ......• les clients bittorrent peuvent...

Documents