Post on 02-Oct-2020
Chamseddine Talhi
École de technologie supérieure (ÉTS)
Dép. Génie logiciel et des TI
Les enjeux de la sécurité
informatique
1
Plan
• Motivations & contexte
• Actualités
• Vulnérabilités – porte d’entrée
• Objectifs de la sécurité informatique
• Analyse de risques
• Approche traditionnelle
• Approche holistique
• ConclusionChamseddine Talhi, ÉTS
2
• Effet surprise
Cheval de Troie
3
Chamseddine Talhi, ÉTS
Motivation & Contexte
• Chemins non empruntés auparavant
Traversée des Alpes
(Hannibal 218 av. J.-C)
Motivation & Contexte
4
Chamseddine Talhi, ÉTS
Motivation & Contexte
5
Pointe de l'iceberg
Les victimes ne déclarent pas les
violations
Les incidents les plus visibles sont les
plus médiatisés
Exemple - Les banques ne sont pas
obligés de divulguer les vols effectués
sur les comptes de leurs clients.
Chamseddine Talhi, ÉTS
6
Chamseddine Talhi, ÉTS
Motivation & ContexteUn classique: les malwares (virus )
Snifula (Sep 2014) : trojan qui a attaqué les institutions financières japonaises.
njRAT (2013-2015) : qui a attaqué les institutions financières au moyen orient.
Statistiques de nouvelles variantes de malwares :
Environ 1 million de
Malware par jour
7
Chamseddine Talhi, ÉTS
Motivation & Contexte
Le marché mondial du logiciel de sécurité aurait connu une croissance de
5,3% de ses revenus en 2014.
Les revenus mondiaux tirés de la vente de logiciels de sécurité ont atteint :
2014 : 21,4 milliards de dollars
2013 : 20,3 milliards de dollars
Carbanak
100 institutions financières sont victimes d’attaques informatiques par un
groupe inconnu, depuis fin 2013.
Les attaques ont atteint 1 milliard de dollars .
Dans certains cas, une seule attaque aurait permis de dérober jusqu’à 10
millions de dollars.
8
Chamseddine Talhi, ÉTS
Motivation & Contexte
9
Chamseddine Talhi, ÉTS
« 2000 échantillons de logiciels malveillants Android découverts chaque jour »
(Sophos, 2014)
SOURCE: Sophos, “Mobile Security Threat Report”, 2014, http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-security-threat-report.pdf
2 ans d'évolution de logiciels malveillants mobiles
20 ans d'évolution de logiciels malveillants de bureautique traditionnels
Motivation & Contexte
Actualités!
10
5 août 2015- Royaume-Uni : les données de
2,4 millions clients de Carphone piratées Carphone : un des plus importants distributeurs de smartphones au
Royaume-Uni.
Ce piratage massif pourrait impliquer le vol des détails de 90 000 cartes
bancaires.
Cette attaque sophistiquée a probablement été lancée deux semaines
avant sa découverte.
La compagnie a aussitôt annoncé la fermeture des sites Internet affectés,
pris des mesures pour déterminer la nature des données compromises et
informer les clients concernés par cette attaque.
Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Actualités!
11
20 juillet 2015 - Ashley Madison piraté :
l'identité de 37 millions d'infidèles bientôt
dévoilée
Cyber-pirates ‘Impact Team’ menace de diffuser les coordonnées de
37 millions clients ainsi que toutes sortes de documents confidentiels si ce site
ainsi qu'Established Men ne sont pas mis hors ligne!
Dérobés chez d'Avid Life Media : détails concernant l'infrastructure IT
du site, données de ventes et marketing, d'autres relatives aux clients, etc.
« Nous les avons complètement piraté et pris l'ensemble de leurs
domaines de production et de bureautique, les bases de données de tous leurs
clients sur plusieurs années, les répertoires de code source,
des enregistrements financiers, de la documentation
et des e-mails. Et cela a été facile.
Pour une société qui promet d'être discrète,
c'est comme si ils n'avaient jamais cherché à l'être »Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Anecdotes!
12
20 juillet - Ashley Madison piraté : l'identité
de 37 millions d'infidèles bientôt dévoiléeAfin de prouver l'existence de ce piratage et faire pression sur ALM,
40 Mo de données ont été mis en ligne, incluant des détails partiels de
transactions bancaires ainsi que d'autres documents provenant des données
serveurs d'ALM.
Certains fichiers sont relatifs à des craintes de sécurité multiples
émises par la société : défaillance de processus, mise en défaut de la
gouvernance, vulnérabilités XSS et injection SQL, infections de malwares
sur le réseau, attaques man-in-the-middle
On apprend qu'ALM a gagné 1,7 million de dollars
en 2014 en facturant 19 dollars les utilisateurs souhaitant
faire disparaître leurs informations personnelles sur le site!
Détails publiés en ligne le 19 août!
Fin mai, 3,9 millions d'adresses mail piratés du site
AdultFriendFinder en mars dernier, a été mise en vente
pour 70 bitcoins …Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Anecdotes!
13
Piratage des voitures!
2013 : vulnérabilités exploitées:
https://www.youtube.com/watch?v=oqe6S6m73Zw
2015 : Une Jeep piratée à distance par 2 hackers
2015 : une autre démo: https://www.youtube.com/watch?v=3jstaBeXgAs
Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Anecdotes!
14
Piratage des voitures!
• Chrysler rappelle 1,4 million de voitures exposées à un piratage à distance
quelques jours après un article de Wired sur la vulnérabilité des véhicules
connectés qui explique comment deux hackers, Charlie Miller et Chris Valasek,
ont réussi à prendre le contrôle d'une Jeep Cherokee fabriquée par Fiat/Chrysler.
• Charlie Miller et Chris Valasek travaillent depuis plusieurs mois avec Chrysler
qui a déjà livré un correctif début juillet. Mais l'attention des médias sur
l’évènement a poussé le constructeur à faire un rappel de ses véhicules.
• « Le piratage à l’origine de ce rappel demande des connaissances techniques
uniques et très complexes, un accès physique prolongé à un véhicule témoin
et beaucoup de temps pour écrire du code ».
• Deux sénateurs américains Ed Markey et Richard Blumenthal ont déposé la
semaine dernière une proposition de loi obligeant les constructeurs automobiles
à mieux protéger leurs véhicules contre les pirates informatiques.
• Projet de loi intitulé Security and Privacy in Your Car Act 2015!
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Anecdotes!
15
Vulnérabilités et failles!
• Black Hat 2015 : la faille Certifi-Gate permet un contrôle distant sous
Android
• Certifi-Gate permet à des pirates d'accéder sans restriction à l'appareil via des
applications et ainsi, selon Check Point, « de dérober des données
personnelles, localiser les appareils, activer le microphone pour enregistrer
des conversations, et plus encore ».
• Certains fabricants de smartphones ont préchargé de façon non sécurisée des
outils de support à distance sur leurs terminaux Android, ce qui fournit aux
pirates un moyen de prendre le contrôle de ces terminaux à travers des apps
malveillantes ou même des messages SMS!
• Google a confirmé cette vulnérabilité, selon le site Golem. Mais Check Point
rappelle qu'Android ne dispose d'aucun moyen de révoquer des certificats
fournissant des autorisations privilégiées. Seule une mise à jour du système
d'exploitation pourra permettre de supprimer cette faille de sécurité.
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Anecdotes!
16
Vulnérabilités et failles!
• Les clients BitTorrent peuvent servir à amplifier les attaques DDoS
• Sur la conférence Usenix, quatre chercheurs universitaires ont expliqué
comment des attaques DDoS pouvaient être lancées en répercutant le trafic
généré par des millions d'ordinateurs utilisant BitTorrent.
• Dans un article présenté la semaine dernière sur le Workshop on Offensive
Technologies (WOOT 2015), ils ont montré comment des programmes tels que
uTorrent, Vuze ou le client BitTorrent d’origine (Mainline) pouvaient aider
des attaquants à amplifier jusqu’à 50 fois le trafic DDoS
• Le protocole BitTorrent Sync (BTSync), également utilisé pour la
synchronisation de fichiers peer-to-peer, peut être exploité avec un facteur
d’amplification allant jusqu’à 120
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Anecdotes!
17
Vulnérabilités et failles!
• Un jeune développeur italien a repéré deux failles zero-day dans l’OS Mac
OS X d'Apple pouvant entraîner la prise de contrôle à distance d’une machine.
• Découverte intervient une semaine après la livraison par Apple d'un correctif
pour la faille (dyld_print-to-file) d’élévation de privilèges dans la version
10.10.x d’OS X.
• Luca Todesco, 18 ans, a publié sur GitHub les détails d'un programme
exploitant deux bogues pour entraîner une corruption de la mémoire dans le
noyau d’OS X. La mémoire corrompue peut alors être utilisée pour
contourner le kernel Address Space Layout Randomization (kASLR), une
technique défensive conçue pour empêcher le code malveillant de
fonctionner. L'attaquant atteint alors le root shell.
• Cette vulnérabilité touche les versions 10.9.5 à 10.10.5 d’OS X, mais pas El
Capitan, la version bêta du prochain OS d’Apple, dont les mécanismes de
sécurité ont été renforcés.
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Vulnérabilités
18
Chamseddine Talhi, ÉTS
VulnérabilitésUn long chemin: détection, annonce, correction
19
Chamseddine Talhi, ÉTS
Hitachi Vulnerability Disclosure Process
Source: http://www.hitachi.com/hirt/publications/
Une question d’analyse de risque:
Vraisemblance
Impact
20
Chamseddine Talhi, ÉTS
Vulnérabilités
21
Vulnérabilités
Chamseddine Talhi, ÉTS
Source: http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-
Vulnerabilities-Exploits-Patches-and-Security.aspx
Nom Annonce Exploit Intervalle
SQLsnake 27 novembre 2001 22 mai 2002 176
CodeRed 19 juin 2001 19 juillet 2001 30
NimdaPlusieurs vecteurs
15 mai 2001
6 août 2001
3 avril 2001
18 septembre 2001 126
42
168
Slapper 30 juillet 2002 14 septembre 2002 45
Scalper 17 juin 2002 28 juin 2002 11
Adapté de J. Nazario, Defense and Detection Strategies against Internet Worms, 2004
22
VulnérabilitésDe l’annonce à l’exploit!
Jean-Marc Robert, ÉTS
23
Vulnérabilités
Jean-Marc Robert, ÉTS
C’est autant de possibilités pour des attaques
• NIST – National Vulnerability Database
(http://nvd.nist.gov/)
• 89992 CVE Vulnerabilities (08 sep 2017)
Information security is the protection of information
[Assets] from a wide range of threats in order to
ensure business continuity, minimize business risks
and maximize return on investment and business
opportunities.
Adapté de Norme ISO 17799:2005.
Objectif 1
24
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
The purpose of information security governance is to ensure that
[enterprises] are proactively implementing appropriate information
security controls to support their mission in a cost-effective
manner, while managing evolving information security risks.
As such, information security governance has its own set of
requirements, challenges, activities, and types of possible structures.
Information security governance also has a defining role in
identifying key information security roles and responsibilities, and it
influences information security policy development and oversight
and ongoing monitoring activities.
Adapté de NIST Special Publication 800-100 – Information Security
Handbook: A Guide for Managers
25
Objectif 2
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
• Base de données Clients
– Vente et Marketing
• Base de données Employés
– Ressources humaines
• Portail web
– Vente directe ou indirecte
• Code source d’une application
– Équipe de développement
• Base de données Usagers
– Équipe des TI
Les actifs informationnels représentent l’ensemble des données et des
systèmes d’information nécessaires au bon déroulement d’une entreprise.
26
Les actifs
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
Le trio du CID:
Confidentialité
Disponibilité
Intégrité
27
Les propriétés
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
28
Confidentialité
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
• Menaces
– Surveillance du réseau
– Vol de fichiers
• Fichiers de mots de passe
• Fichiers de données
– Espionnage
– Ingénierie sociale
• Contre-mesures
– Cryptographie
• Chiffrement
– Contrôle d’accès
• Mot de passe à usage
unique
• Biométrie
– Classification des actifs
– Formation du personnel
Propriété d’une donnée dont la diffusion doit être
limitée aux seules personnes ou entités autorisées.
29
Intégrité
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
Propriété d’une donnée dont la valeur est conforme à
celle définie par son propriétaire.
• Menaces
– Attaques malicieuses
• Virus
• Bombes logiques
• Portes dérobées
– Erreurs humaines
• Contre-mesures
– Cryptographie
• Authentification, signature
– Contrôle d’accès
• Mot de passe à usage unique
• Biométrie
– Système de détection d’intrusion
– Formation du personnel
Si cette propriété n’est pas respectée pour certains actifs, cela
peut avoir des impacts sur la confidentialité de d’autres actifs.
30
Disponibilité
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
• Menaces
– Attaques malicieuses
• Dénis-de-service
– Inondation
– Vulnérabilités logicielles
– Attaques accidentelles
• Flashcrowd – Slashdot effect
– Pannes
• Environnemental, logiciel,
matériel
• Contre-mesures
– Pare-feu
– Système de détection d’intrusion
– Formation du personnel
Propriété d'un système informatique capable d'assurer
ses fonctions sans interruption, délai ou dégradation,
au moment même où la sollicitation en est faite.
• La sécurité de l’information consiste à protéger
les actifs informationnels afin d’assurer
l’intégralité de leurs propriétés.
• Les actifs et leurs propriétés sont définis par les
objectifs d’affaire.
Objectif de la sécurité informatique
(reformulé)
31
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
Connais ton ennemi et connais-toi toi-même; eussiez-vous
cent guerres à soutenir, cent fois vous serez victorieux.
Si tu ignores ton ennemi et que tu te connais toi-même, tes
chances de perdre et de gagner seront égales.
Si tu ignores à la fois ton ennemi et toi-même,
tu ne compteras tes combats que par tes défaites.
Sun Tzu, approx. 4ième siècle av.
34
Analyse de risquesUne vieille histoire
Jean-Marc Robert, ÉTS
35
Approche traditionnelle
Jean-Marc Robert, ÉTS
• Le rôle des responsables des TI
– Se basant sur le fait que les systèmes informatiques
sont intrinsèquement vulnérables (bogues de
logiciel, mauvais design, …), les responsables des
TI doivent mettre en place les moyens de résister
aux diverses menaces afin de protéger les actifs de
leurs entreprises.
36
Approche traditionnelle
Jean-Marc Robert, ÉTS
• Déployer une infrastructure adéquate résistant aux attaques et assurant l’intégralité des actifs (et leurs propriétés).
– Prévention
• Contrôle d’accès
• Mise à jour des logiciels
• Pare-feu, Systèmes de prévention d’intrusion (SPI)
– Détection
• Antivirus
• Systèmes de détection d’intrusion (SDI)
• Audit
– Réaction
• Pare-feu
Veille technologique à la recherche des vulnérabilités.
CERT , NIST, Virus Bulletin, Microsoft, Bugtraq…
Les objectifs techniques de la sécurité
37
Approche traditionnelle
Jean-Marc Robert, ÉTS
… et les façons de les atteindre!
• Protéger le périmètre du réseau.
– Pare-feu, SDI, SPI
• Protéger les serveurs publics.
– Logiciels mis à jour régulièrement
– Zones démilitarisées
• Partitionner le réseau interne.
– Contrôle d’accès, pare-feu, SDI, SPI
• Protéger les serveurs internes et les usagers.
– Logiciels mis à jour régulièrement
– Antivirus
40
Approche traditionnelle
Jean-Marc Robert, ÉTS
• NIST –Département du commerce, É.-U.– SP 800-100 Information Security Handbook: A Guide for Managers
– SP 800-97 Draft, Guide to IEEE 802.11i: Robust Security Networks
– SP 800-94 Draft, Guide to Intrusion Detection and Prevention (IDP) Systems
– SP 800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals
– SP 800-41 Guidelines on Firewalls and Firewall Policy
• ISO– ISO/IEC 17799:2005(E) – Code of Practice for Information Security Management.
– ISO/IEC 21287:2002 – System Security Engineering – Capability Maturity Model.
• US-CERT – Software Engineering Institute de CMU– Defense in Depth: Foundations for Secure and Resilient IT Enterprises
– Advanced Information Assurance Handbook
• Amazon.ca– 1229 livres sont proposés en utilisant les mots clé: Information Security.
• Google.ca– Ce que vous cherchez s’y trouve. Bonne chance!
L’information est disponible – même trop !
42
Approche holistique
Jean-Marc Robert, ÉTS
• La sécurité des logiciels est donc critique!
– 50 % des vulnérabilités proviennent des erreurs de
conception.
– 50 % des vulnérabilités proviennent des erreurs
d’implémentation.
• Dépassement de mémoire et d’entier
• Concurrence critique
• Microsoft’s Trustworthy Computing Initiative
– Mémo de Bill Gates en janvier 2002 présente la nouvelle
approche de Microsoft de développer des logiciels sécurisés.
– Microsoft aurait dépensé plus de 300 millions USD.
– The Trusthworthy Computing Security Development
Lifecycle.
43
Approche holistique
Jean-Marc Robert, ÉTS
• Sécurité du logiciel – Robustesse
– Gestion du risque
• Actifs, menaces, objectifs, …
– Cycle de développement du logiciel
– Bases de connaissance
44
Approche holistique
Jean-Marc Robert, ÉTS
• Intégration d’activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d’efficacité – subjectif)– Code review, Risk analysis, Penetration testing, Security tests, Abuse
cases, Security requirements, Security operations
Requirements
Use Cases
Architecture
Design
Test
PlansCode
Tests
Test Results
Feedback
Deployment
Adapté de Software Security by McGraw
•Risk analysis
•Abuse cases
•Security req.
•Risk analysis
•Risk-based
security tests
•Code review
(Tools)
•Risk analysis
•Penetration
testing
•Penetration
testing
•Security
operations
Cycle de développement du logiciel
45
Approche holistique
Jean-Marc Robert, ÉTS
• Le domaine de la sécurité du logiciel est naissant. Peu d’information est disponible.
+ le site web https://buildsecurityin.us-cert.gov/
– http://www.youtube.com/watch?v=EC96jdaNYWo&feat
ure=related
– http://www.youtube.com/watch?v=9H07Hxl_ifQ&featur
e=related
Chamseddine Talhi, ÉTS
46
Esprits criminelsCréativité sans limites!
47
Conclusion• Connaissez-vous vous-même.
– Déterminer les actifs qui doivent être protégés et leurs propriétés.
– Déterminer les objectifs à atteindre.
• Connaissez vos ennemis.
– Déterminer les menaces contre lesquelles ils doivent être protégés.
• Reposez-vous sur les épaules de géants.
– Veille technologique, base de connaissances.
– Principes, guides et règles connues.
Ne jamais dire: ceci est impossible, ils ne peuvent faire cela.
Jean-Marc Robert, ÉTS