Post on 20-Jan-2017
Régis LE GUENNEC@regisleguennec
Sécurité numérique
Cyber attaque, comment se protéger?Historique, vocabulaire, motivations, risques, techniques et protections
« Or, c'est dans la conscience de son présent que l'individu se construit, pas en le fuyant »
Daniel Pennac
« La sécurité est un voyage, pas une destination » Bernard Ourghanlian (Microsoft)
CYBERCRIMINEL
CYBERCRIMINALITE
• Facile à faire• Mondial• Efficace• Organisé • Risque réduit• Profitable
Qui est concerné ?
STATIONS DE TRAVAIL
SERVEURS ET DATACENTER
EQUIPEMENT RESEAU
WIFI
OBJETS CONNECTES
SMARTCITY
INCROYABLE x5
• Estonie• Vol 5022• Réseau électrique• Centrale nucléaire Iranienne• Sony Pictures
ESTONIE
Tallinn, capitale de l’Estonie
Soldat de bronze
A partir du 27 avril 2007, et pendant 4 semaines, les sites Internet des banques estoniennes, des médias et des institutions gouvernementales sont fortement perturbés #DDOS
Première Cyberguerre de l’histoire
VOL 5022 SPANAIR
Volets et becs de bord d'attaque non déployés, absence d’alarme
Le serveur central était contaminé par des logiciels malveillants
Panne électrique
• 2003 US Northeast Blackout?
NORTHEAST BLACKOUT
Panne de courant nord-américaine de 2003
Il s'agit de la plus grande catastrophe énergétique de l'histoire du continent, les dommages s'élevant à environ six milliards de dollars américains
2005 Brazil?2005 Los Angeles?2015 Turquie?
IRAN
Centre d’enrichissement
Infrastructures SCADA Interfaces permettant de piloter à distance des infrastructures industrielles
9000 centrifugeuses détruites
6000 fichiers NDA, …
On parle de 500 M de dollars de perte
Pyongyang
Qui est concerné ?
• Particulier• Entreprise• Institution, organisation, Etat
Gouvernement (27%)Industrie (25%)Finance (15%)Organisations (8%)Medias (6%)Education (5%)Particuliers (3%)
PARTICULIERS
• Arnaque et chantage• Usurpation d’identité• PC vampirisé• Espionnage via webcam• Vol/perte de données personnelles
(bancaire, mot de passe, photo…)
Cloud
CELEBGATE
ENTREPRISE
Sur 500 chefs d'entreprises interviewés, 46% placent le cyber-risque parmi leurs préoccupations majeures
« Un grand groupe devrait dépenser entre 8 et 11 % de son budget informatique en sécurité. On est loin du compte. Aujourd'hui, on est à 3 ou 4 % »Jean-Michel Orozco, d'Airbus CyberSecurity,
BANCAIRE
Les banques considèrent désormais la lutte contre la cybercriminalité comme l'une de leurs principales priorités
FINANCIER
93% des sociétés de services financiers dans le monde ont subi des cyber-menaces, au cours des 12 derniers mois
ASSURANCE
• Sabotage industriel• Rançonnage • Détournement (site, réseaux sociaux)• Vols de données confidentielles
(brevet et R&D, stratégie, clients, …)• Piratage de la Téléphonie
(appel vers l’étranger, service surtaxé, …)• Virement frauduleux
Conséquences
« L’informatique industrielle n’a pas été pensée pour un monde connecté »
SCADA
SCADA (Supervisory Control And Data Acquisition) ou Système d’acquisition et de contrôle des données
O.I.V. Un 0pérateur d’Importance Vitale est une organisation identifiée par un État comme ayant des activités d'importances vitales
• Secteurs étatiques • Secteurs de la protection des citoyens• Secteurs de la vie économique et sociale
ANSSI
QUI SONT CES HACKERS
Désigne un virtuose pouvant intervenir dans différents domaines (informatique, électronique, robotique, …)
TECH MODEL RAILROAD CLUB
FOUINEUR
BIDOUILLEUR
BRICOLEUR CREATIF
« Si vous faites chauffer de l’eau dans votre cafetière pour faire cuire des saucisses, c’est une forme de hacking. Parce que vous détournez la technologie. Elle n’est plus utilisée pour son usage premier, mais pour ce qui vous est le plus utile »
Andy M.
ETHICAL HACKER
C’est un terme qui définit les valeurs et la philosophie de la communauté des hackers
ETHIQUE
Toute information est par nature libre
Ne pas se fier à l'autorité, promouvoir la décentralisation
Les hackers peuvent se juger par leurs prouesses,non par d'autres hiérarchies sociales
Art et beauté peuvent être créés avec un ordinateur.
BIONICOHAND
Les ordinateurs peuvent changer et améliorer la vie.
Nicolas Huchet, alias Bionicohand
JOHN DRAPERRoi des nerds, l‘un des premiers dans l‘histoire du piratage mondial
BLUE BOX
HACKER vs CRACKER
LES PIRATES
LES MOTIVATIONS
• Caractère stratégique • Caractère idéologique • Caractère politique• Caractère terroriste• Caractère cupide• Caractère ludique• Caractère vengeur
L’ARGENT
#cyber-délinquant
SCRIPTKIDDIEou Lamer
PROFILS
• Agresseurs • Fraudeurs• Employés malveillants (Insiders)• Militants• Espions• Terroristes
3 POPULATIONS
ACTIVISTE / HACKTIVISTE
Revendication / protestation / vandalisme
CYBER COMBATTANT
Détruire / Ralentir / Tuer
CYBER CRIMINEL
Voler / Arnaquer / Détourner
2 campsWhite Hat - Black Hat
BLACK HAT
Black hat SEO
WHITE HAT
GREY HAT
KEVIN MITNICK
VOCABULAIRE
VIRUSUn virus informatique est un automateauto réplicatif à la base non malveillant
Ils sont conçus pour se propager en s'insérant dans des logiciels légitimes, appelés « hôtes »
VEROu worm
Un ver est un programme qui peut s'auto reproduire sur le réseau
Les vers ("worms") sont donc des virus avec leur propre véhicule.
SPYWARE
ADWARE
MALWARE
Contraction de " malicious software " sont des programmes spécifiquement conçus pour endommager ou entraver le fonctionnement normal d'un ordinateur
RANSOMWARE
« Le but ici est de crypter les données de l’utilisateur pour ensuite le rançonner »
CRYPTOLOCKER
Méthodes
ATTAQUE PASSIVE
ATTAQUE ACTIVE
Mot de passe« felix »
Identifiant« régis »
Pour le compte « Régis »Est-ce le mot de passe « felix » ?
OUI, j’ai bien le mot de passe
« felix » en face de « régis »
NON,Je n’ai pas le mot de passe
« felix » dans mon système
Est-ce le mot de passe « toto » ? Est-ce le mot de passe « 1234 » ? Est-ce le mot de passe « azerty » ? Est-ce le mot de passe « password » ?
…
• moulinet : 13 minutes pour cracker ce mot de passe• Moulinet : 2 jours• Moulin3t : 10 jours• Moulin3t# : 12 ans• Moulin3t@Paulo : 32 milliards d’années
EXEMPLE : FRAC
• Force brute• « Déni de Service distribué » (dDOS)• « Ping de la mort »• « Goutte d’eau »• La modification des messages • La tromperie ou la mascarade• L'homme au milieu• Le phishing• Le pharming• Injection SQL/ XSS• …
L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité.
La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, …
JEU
Quelle est ta ville de naissance ?
83411 PMDTbP0LZxu03SwrFUvYGA== ****************
PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “Un logiciel célèbre”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “Pour traiter mes photos”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “De la famille Adobe”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “Commence par un P”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”PMDTbP0LZxu03SwrFUvYGA== “………..”
LES OUTILS
Contrairement aux idées reçues,
pour devenir hackeur, nul besoin d’être un génie de l’informatique.
Les outils de piratage sont disponibles sur Internet, gratuitement ou pour des sommes modiques.
1. Scan2. Vulnérabilité3. Exploit
« Le Google hacking est une technique consistant à utiliser un moteur de recherche, en vue de chercher des vulnérabilités ou de récupérer des données sensibles »
1.“Index of /admin”2. “Index of /password”3. “Index of /mail”4. “Index of /” +passwd5. “Index of /” +password.txt6. “Index of /” +.htaccess7. index of ftp +.mdb allinurl:/cgi-bin/ +mailto8. administrators.pwd.index9. authors.pwd.index10. service.pwd.index11. filetype:config web12. gobal.asax index13. allintitle: “index of/admin”14. allintitle: “index of/root”15. allintitle: sensitive filetype:doc16. allintitle: restricted filetype :mail17. allintitle: restricted filetype:doc site:gov18. inurlasswd filetype:txt19. inurl:admin filetype:db20. inurl:iisadmin
21. inurl:”auth_user_file.txt”22. inurl:”wwwroot/*.”23. top secret site:mil24. confidential site:mil25. allinurl: winnt/system32/ (get cmd.exe)26. allinurl:/bash_history27. intitle:”Index of” .sh_history28. intitle:”Index of” .bash_history29. intitle:”index of” passwd30. intitle:”index of” people.lst31. intitle:”index of” pwd.db32. intitle:”index of” etc/shadow33. intitle:”index of” spwd34. intitle:”index of” master.passwd35. intitle:”index of” htpasswd36. intitle:”index of” members OR accounts37. intitle:”index of” user_carts OR user_cart38. ALTERNATIVE INPUTS====================39. _vti_inf.html40. service.pwd
"index of" inurl:wp-content/ "inurl:"/wp-content/plugins/wp-shopping-cart/" "inurl:wp-content/plugins/wp-dbmanager/”
intext:"WordPress SEO plugin v1.7.1"
Et restez cachés !
Comment ils vous arnaquent ?
• En pratiquant le Phishing via du spam
• En utilisant les failles #ZeroDay
• En pratiquant la ruse via l’ingenierie sociale
• En vous demandant de télécharger un fichier
• …
CONSEQUENCES
Quelles sont les conséquences d’une cyber attaque ?
• Home page taguée• Demande de rançon• Création d’énorme Botnet #ddos #spam #cloud• Récupération de données confidentielles/personnelles • Hébergement de fichiers/pages illicites• Effacement et fuite/divulgation de fichiers • Système saturé, détruit, détourné• Ecouter/espionner les communications• Certains visiteurs d’un site web sont infectés
DARKNET Le Darknet aussi parfois appelé réseau Friend-to-Friend (F2F)
A l’origine pour préserverla confidentialité des échangeset des données (dissident, journaliste)
500 fois plus important
Le web profond (invisible ou caché …en anglais Deep web) est la partie de la Toile accessible en ligne, mais non indexée par des moteurs de recherche classiques généralistes
The Onion RouterL’extension des pages du Darknet se termine en .onion
USA : 4 $EU : 20 $
REACTION
• Comportementale• Organisationnelle• Technique
POSTURES
Comportementale
• Veille• S’informer • Se former• Limiter les risques• Vigilent
Organisationnelle
• Charte informatique • Clause particulière dans le contrat du DSI • Règlement sur l’usage personnel des TIC dans
un cadre professionnel• politique de mot de passe, droit d’accès aux
données (principe du moindre privilège), • Plan de Reprise d’Activité
Technique
• Mise à jour du SI• Réseau(x) cloisonné(s)• SSL• Système IDS / IPS• Audit externe par des experts #pentest
COMMENT SE PROTEGER ?
OFF Line
On réfléchit d'abord, on clique ensuite
La sécurité par l’obscurité
Posséder un antivirus … à jour
Activer le pare feu
Mettre à jour son système d’exploitation
Mettre à jour ses programmes
Sauvegarder régulièrement et automatiquement
Un mot de passe bien forgé
Ne pas utiliser le même mot de passe partout
Double identification
Ne communiquez jamais votre mot de passe
Limiter ses informations personnelles sur les réseaux sociaux
Supprimer les plugins et les programmes non utilisés ou inutiles
MOT DE PASSE
RECETTE
9 caractères minimum - un chiffre- 1 ou 2 caractères spéciaux- une majuscule
ROBUSTESSE
« 91% des internautes utilisent l'un des 1.000 mots de passe les plus courants »
5 recettes pour vous aider
1.La passphrase
« L’hiver j’aime aller au ski avec mes enfants »
2. Le mot de passe composé
« _Jule # Jule_ »
3. La substitution
Remplacer « a » par « @ » ou « o » par « 0 » …
« R@z0ir »
4. Le mot de passe « dessiné » ou ASCII Art
ALPHA =
« /||_P|-|/| »
|_ = L|-| = H
5. La passphrase hachée
• Choisissez une phrase• Prenez la première lettre de chaque mot• Ajouter quelques chiffres et symboles.
• « L’hiver j’aime aller au ski avec mes enfants »• Ce qui donne: Lhjaaasame• On ajoute chiffres et symboles
« L’hj’aaasam3e »
98 millions d’années
5. La passphrase hachée - Exemple
« Les utilisateurs ont en moyenne 25 comptes sur Internet et seulement 6 mots de passe »
Déclinaisons"J'adore mon Canon EOS 300D" sur Flickr.com, "Ras-le-bol des spammeurs" sur GMail.com
ou
« Lgmf776lpplr&& » sur flickr.com« Lgmg776lpplr&& » sur Viadeo
Sécurité par étage / niveau
My LIFE
Force différente / risque
Niveau 1 (faible)lhjaaasame
Niveau 2 (moyen)Lhjaaasam3e
Niveau 3 (fort)L’hj’@aasam3e
Niveau 4 (Extra fort)L776lpplr&&Lgmm776lpplr&&
Récapitulatif d’une bonne stratégie
• Classer par importance les sites ou applications où vous avez besoin d’un mot de passe selon 4 catégories
• Définir une structure de mot de passe et 4 variantes
• 9 caractères dont au moins 1 chiffre, 1 majuscule, 1 caractère spécial
• Changer ces mots de passe au moins 1 fois par an
• Suivre l’actualité et changer votre mot de passe dès le moindre doute de compromission d’un site
• Tester la résistance de vos mots de passe
EST-IL EN SECURITE ?
150 millions de mots de passe chiffrés
6,5 millions de mots de passe chiffrés
VERIFIONS
RECUPERATION
YEAHHHH
AIIIEEE !!!
A suivre
Mot de passe wifi récupérable et non chiffré
ET DEMAIN ?
Pour en finir avec le mot de passe, pourquoi ne pas utiliser le corps humain ?
« avaler son mot de passe »
PROCHAIN EPISODE
NFC …Nouvel eldorado des pickpockets 2.0 ?
Protège carte blindé
CONCLUSION
Bonjour Très Cher, Je tiens dans un premier temps à m’excuser pour cette intrusion dans votre vie même si j’avoue que cela est très important pour moi. Je suis Mr Nathan KELDERMANS, étant âgé et souffrant d’un Cancer à la Gorge depuis quelques années et que mes jours sont comptés du fait de mon état de santé assez dégradé. Je suis veuf, mon seul enfant que j’avais est décédé depuis peu dans un accident de voiture. Au fait, la raison pour laquelle je vous contacte est que je souhaite vous faire Don d’une partie de mes biens vu que je n’ai personne qui pourrait en hériter.J’ai vendu toutes mes affaires. Une grosse partie de tous ces fonds récoltés a été versée auprès de différentes associations à caractères humanitaires un peu partout dans le monde. Pour ce qui est du reste de la somme qui s’élève exactement à 2.840.000 € présentement sur un Compte Personnel Bloqué, mon dernier souhait serait de vous en faire Don afin que vous puissiez investir dans votre secteur d’activité et surtout dans l’humanitaire. Je suis tout à fait conscient de ce que je compte faire et je crois malgré le fait que nous ne nous connaissons pas, que vous saurez faire bon usage de cette somme. Je vous prie donc de bien vouloir accepter ce legs sans toutefois ne rien vous demander en retour si ce n’est de toujours penser qu’à faire le bien autour de vous. Ceci dit, étant rassuré d’être tombé sur une personne responsable et surtout de Bonne Foi, je vous demanderais de bien vouloir me recontacter au plus vite afin de vous donner plus d’explications sur les motifs de mon geste et sur le déroulement des choses.
Chaleureusement,Monsieur Nathan KELDERMANS
Comportements différents entre monde Réel / Virtuel
« Internet est un bien public mondial, … c’est un objet précieux »
340
FIN / MERCI