E-Sécurité

14 Octobre 2013CROSASSO Benjaminbenjamin@alpinfra.fr

@alpinfra

Sommaire

• Les Définitions• Les Risques• Les Menaces• Les Solutions• Bonus : Stuxnet

Définition (1/3)

• Intégrité– La donnée doit être intègre : • Elle ne doit pas avoir été altérée

– Lors du stockage par du matériel défaillant (RAID : détection d’une altération grâce au stockage sur plusieurs disques)

– Lors de l’écriture ou de la lecture par un logiciel défaillant

• Sauvegarde (restauration, mais uniquement après avoir détecté la corruption)• Antivirus

Définition (2/3)

• Disponibilité– La donnée doit être accessible : • Disponibilité du stockage (RAID)• Disponibilité du serveur/logiciel qui utilise cette donnée• Disponibilité des réseaux transportant l’information• Disponibilité du périphérique (Ordinateur, Tablette

utilisant cette donnée)

Définition (3/3)

• Confidentialité– La donnée ne doit être accessible que par les

personnes autorisées : • Nécessité d’identifier/authentifier les utilisateurs• Gestion des droits d’accès à la donnée

– Recommandation : tracer les actions des utilisateurs dans un journal.

Risques (1/2)

• Dommages financiers :– Disponibilité

• Un site web marchand n’est pas utilisable suite à un bug applicatif. Diagnostic et correction : pas de site web pendant x heures.

– Intégrité des données • Un virus a modifié la base de données d’un site web marchand en

divisant tous les prix par 2 : détection, restauration de la sauvegarde, indisponibilité pendant la restauration

• Indisponibilité du site web pendant x heures, des commandes à traiter avec des prix incorrects.

– Confidentialité• La base de données du site web a été entièrement téléchargée par

l’attaquant : la base de données clients (CB), prix d’achats, etc…

Risques (2/2)

• Dégradation de l’image de marque : exemple de Sony– http

://www.theregister.co.uk/2011/05/24/sony_playstation_breach_costs/

– “The cost of a criminal intrusion that exposed sensitive data for more than 100 million Sony customers and resulted in a 23-day closure of the PlayStation Network will cost the company at least $171 million, executives said.”

Menaces

• Interne :– Le plus courant : utilisateur de l’entreprise

insouciant ou mal intentionné.• Programme malveillant :– Virus, malware (pub, SPAM)

• Personne malveillante :– La pire des situations : l’attaque est ciblée et

personnalisée– APT (Advanced Persistent Threat)

Comment se propage un malware ?

• Action volontaire de l’utilisateur :– Ecran de veille gratuit Aquarium

Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les avertissements.

• Faille de sécurité :– Exemple côté utilisateur : Internet Explorer

– http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028

– Exemple côté serveur web : XSS (Cross Site Scripting)– http://fr.wikipedia.org/wiki/Cross-site_scripting

Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte !

Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et Acrobat Reader, demain ?

Marché noir des failles de sécurité• Chercheur en sécurité très honnête :

– Informe l ’éditeur, attend le correctif, publie sa découverte– Les éditeurs payent les découvertes : Google, Mozilla par exemple

• Chercheur en sécurité honnête :– Informe l ’éditeur, attend 30 jours, publie

– Chercheur en sécurité :– Vend la faille de sécurité au plus offrant (certaines failles peuvent

dépasser les 100 000 €)

• Une faille de sécurité est ensuite associée à un payload (charge utile) pour être utilisée.

Windows XP : fin de support en avril 2014

Que faire ? (1/3)

• Intégrer la sécurité lors de toute décision touchant le système d’information :– Evaluer à l’aide des trois critères principaux les

bénéfices et les risques

« La sécurité fait partie des critères pour bien choisir un prestataire. »

Que faire ? (2/3)

• Défense en profondeur :– Sensibilisation des utilisateurs• Mise en place d’une charte / guide d’utilisation de

l’outil informatique

– Sécurité logique • Authentification des utilisateurs, rôles, logs• Mises à jour régulières des logiciels• Sauvegardes• PRA/PCA (Plan de reprise / continuité d’activité)

Que faire ? (3/3)

• Défense en profondeur :– Sécurité des transmissions

• Firewall• IPS / IDS (Intrusion Prevention/Detection System)• VPN (Virtual Private Network)• Cryptage des données (Clé USB, portables…)

– Attention aux clés USB : vecteur d’infection virale très important !

– Sécurité physique • Porte verrouillée• Contrôle d’accès• Vidéo surveillance

Stuxnet• Un malware conçu pour attaquer une cible industrielle déterminée :

Installations nucléaires iraniennes => cyber arme• C'est le premier ver découvert qui espionne et reprogramme des

systèmes industriels• Le virus s’attaque aux systèmes Windows à l’aide de quatre attaques

dont trois « zero day »• En février 2011, Symantec publie une analyse complète de Stuxnet.

Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés.

http://fr.wikipedia.org/wiki/Stuxnet

Merci