La Sécurité

Intro

1-Objectifs de la sécurité informatique – 2-Définitions3-Internet et le besoin de sécurité 4- Méthode d’attaque

1-Objectifs de la sécurité informatique

Les systèmes informatiques sont au coeur des systèmes d´information.

Ils sont devenus la cible de ceux qui convoitent l’information.

Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes informatiques.

Evolution des risques

Croissance de l'Internet et des attaquesFailles des technologies, des configurations et politiques de sécuritéChangement de profil des pirates

Objectifs de la sécurité informatique

Trois principaux objectifs à garantir:

Authentification : login/mdp – empreinte digitale – carte magnétique…..

Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.

Intégrité : garantie que les éléments considérés sont exacts et complets.

Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.

D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il s'agisse en fait de fonctions de sécurité), tels que : la Traçabilité (tracer la personnes..….)

Douhaji mohamed

2-Définitions

Qu’est ce qu’un hacker ?

Ce terme est généralement utilisé dans le langage courant pour désigner un agresseur sur Internet.

Personne qui connaît particulièrement bien le système utilisé et qui s’occupe de manière très intensive des détails des systèmes.

Il met en avant les failles de sécurité et détecte même de nouvelles lacunes et de nouveaux points d’attaque possibles sur les systèmes.

Généralement ces personnes publient leurs découvertes sur des pages Web ou dans des groupes de nouvelle

Qu’est ce qu’un cracker ?

Les crackers ne publient pas leurs découvertes concernant les failles des systèmes, mais les utilisent pour accéder à des ordinateurs qui ne leur appartiennent pas et obtenir par exemple des droits d’administrateur.

Lorsqu’une tentative a réussi, ils mettent généralement en place un accès permanent sur le système cible et effacent les traces de leur effraction. Pour cela, ils installent des portes dérobées (Backdoors) qui leur permettront d’accéder à tout instant à l’ordinateur, si la voie utilisée initialement était verrouillée.

script kiddies

Terme péjoratif désignant les pirates informatiques néophytes qui, dépourvus des principales compétences en matière de gestion de la sécurité informatique, passent l'essentiel de leur temps à essayer d'infiltrer des systèmes, en utilisant des scripts ou programmes mis au point par d'autres. On pourrait traduire l'expression par « Gamin utilisateur de scripts », mais le terme « script kiddie » est le seul couramment utilisé.

Hackers :

L’origine un mot anglais signifiant bricoleur, bidouilleur, utilisé pour désigner en informatique les programmeurs astucieux et débrouillards. Plus généralement il désigne le possesseur d'une connaissance technique lui permettant de modifier un objet ou un mécanisme pour lui faire autre chose que ce qui était initialement prévu

Douhaji mohamed

Les types des hackers

Black hat hacker, un hacker qui pénètre par effraction dans des systèmes ou des réseaux dans un objectif souvent personnel. Celui-ci essaie à tout prix de récupérer ce qu'il veut, peu importe les dégâts pourvu que son action se déroulLe plus possible

White hat hacker, un hacker qui pénètre des systèmes ou des réseaux dans l'objectif d'aider les propriétaires du système à mieux le sécuriser. Généralement celui-ci préfère demander au préalable une autorisation spéciale, mais d'autres préfèrent garder l'anonymat.

Grey hat hacker, un hacker hybride entre les chapeaux blancs et chapeaux noirs. On peut le définir comme un agent double : il peut aider (bénévolement, ou pas) à sécuriser divers réseaux, mais aussi à en exploiter d'autre...

Les hacktivistes ont une motivation principalement idéologique notammentRevendique des idées politiques en infiltrant des systèmes informatiques(L'organisation célèbre anonymous par exemple)

Suicide hackers : Ce type de hackers fait le travail illégal sans crainte de la police ou la loi

Douhaji mohamed

Cible des pirates

Les états - Serveurs militaires - Banques - Universités - Tout le monde

Menace (threat)

Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation - Une violation potentielle de la sécurité.

Les principales menaces effectives auxquelles un système d’information peut être confronté sont :

Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur, généralement insouciant

Une personne malveillante : accéder à des données ou à des programmes auxquels elle n'est pas censée avoir accès en utilisant par exemple des failles connues et non corrigées dans les logiciels

Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé sur le système (vol, destruction, modification des données..)

Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

Panorama des menaces

Douhaji mohamed

Accidents

Incendie, explosion, implosion dégât des eauxpannes : internes (composant) - logiciel de baseExternes (ex : climatisation, alimentation,…)

Erreurs

Erreurs de saisie, de transmission de données - d’exploitation ou de conception dans la réalisation ou la mise en oeuvre des : logiciels ou Procédures

Malveillances

Fraude, sabotage - dénis de service (DOS)Indiscrétion ou écoute de ligne - espionnagePiratage de logiciel - Menaces dues aux télécommunicationsInterruptions de service ou disfonctionnement

Vulnérabilités (vulnerability)

Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient.

Beaucoup d'applications sont vulnérables dues à de la mauvaise programmation (par manque de temps, de motivation, …) ou volontairement (aménagement d'un point d'entrée, …).

Certaines vulnérabilités peuvent être gardées secrètes (à des fins d'espionnage, d'utilisation mafieuse, …).

Toutes les applications ont besoin de sécurité:Services réseaux (daemons), les applications téléchargées (applet java, …), les applications web (scripts cgi, …), les applications utilisées par l'administrateur ou disposant d'un bit setuid/setgid, visualisateur de données distantes, …

Il arrive que la procédure d'exploitation d'une faille d'un logiciel soit publiquement documentée et utilisable sous la forme d'un petit logiciel appelé exploit.

Douhaji mohamed

Vulnérabilités les plus courantes

"Backdoors" laissées volontairement ou involontairement sur un service par le programmeurErreurs de programmation - Débordements de tampons (buffer overflow)Chaînes de format - Entrées utilisateurs mal validéesLes problèmes de concurrence etc...

Cible d'évaluation (Target of Evaluation)Système - Elément de réseau - Equipent à évaluer (ex. Serveur WEB)

Attaque (Exploit)

Programme permettant d'exploiter une faille de sécurité d'un logiciel ;Un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance (remote exploit) ou sur la machine sur laquelle cet exploit est exécuté (local exploit)

Prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque par déni de service

AttaqueAttaques passives :

Analyse du trafic - Écoute sur le réseauTermes anglais : eavesdropping, IP sniffing (un intrus écoute la trafic en transit sur un réseau IP, Attaque très difficilement détectable)

Attaques actives :

Action sur le trafic : manipulation, destruction, modification traffic tampering)Usurpation d’identité (IP spoofing)Saturation de réseau et déni de service (IP floofing)IP spoofing : un intrus réussit à usurper l’identité d’une station.But : bénéficier des mêmes privilèges que la station usurpée.

Douhaji mohamed

Objectifs des attaques

Désinformer - Empêcher l'accès à une ressource - Prendre le contrôle d'une ressourceRécupérer de l'information présente sur le systèmeUtiliser le système compromis pour rebondirConstituer un réseau de « botnet » (ou réseau de machines zombies)

Contre-mesure

Caractéristique ou fonction permettant de réduire ou éliminer une ou plusieurs vulnérabilité(s) du système interne ou de contrer une ou plusieurs menace(s) externe(s).

Ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même vulnérabilité).

3-Internet et le besoin de sécurité

Sécurité de l’information

Le CLUSIF est un club professionnel français, constitué en association indépendante, ouvert à toute entreprise ou collectivité.

Il accueille des utilisateurs et des offreurs issus de tous les secteurs d'activité de l'économie.

La finalité du CLUSIF est d'agir pour la sécurité de l'information, facteur de pérennité des entreprises et des collectivités publiques.

Il entend ainsi sensibiliser tous les acteurs en intégrant une dimension transversale dans ses groupes de réflexion : management des risques, droit, intelligence économique ...

Principales Conséquences

Discontinuité de service qui peut mettre l’activité de l’entreprise en péril

Perte du patrimoine informationnel

L’erreur majeure est de sous estimer ces risques et de ne pas les anticiper

Douhaji mohamed

80% des entreprises ayant perdu leurs données font faillite dans les 12 mois qui suivent (Source Clusif)

Il est ainsi du devoir du chef d'entreprise de manager et sécuriser ce patrimoine informationnel.

Exemples de conséquences financières

Frais techniques de réinitialisation du SI :

Remise en oeuvre du hard, des programmes, du réseauReconstitution des données (saisies, tests d’intégrité,…)

Pertes d’exploitation :

Impact sur le chiffre d’affairesDépenses consenties pour éviter ou limiter l’arrêt de l’activité

Fraude : valeurs d’argent et/ou de biens détournés

Conséquences financières : pertes directes

Coûts d’immobilisation des installations de productionCoût du temps passé à la restauration des systèmesCoûts techniques de remplacement de matériels ou de logiciels,…

Conséquences juridiques :

Engagement de la Responsabilité civile et pénale du chef d’entreprise en cas de faute d’imprudence, de négligence ou de manquement à une obligation de prudence ou de sécurité. Art 226-17

Attribution de la fonction RSSI

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI) est-elle clairement identifiée et attribuée ?

La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI ou RSI) est de plus en plus clairement identifiée et attribuée au sein des entreprises, ce qui marque un net progrès par rapport aux années précédentes.

Douhaji mohamed

En effet, près de la moitié d’entre elles bénéficient de ses services, alors qu’en 2012, plus de 45% des organisations n’avaient pas pleinement identifié son rôle

Rattachement hiérarchique du RSSI au sein de l’entreprise

Quel est le rattachement hiérarchique du RSSI au sein de votre entreprise ?

Arrivée plus nombreuse de RSSI au sein d’entreprises de tailles moyennes ayant un niveau de maturité en SSI encore faible.

Effectif total de l’équipe sécurité permanente au sein de l’entreprise

Quel est l’effectif total de l’équipe sécurité permanente au sein de votre entreprise ?

Enfin, à présent, plus de 98% des entreprises ont en permanence une équipe sécurité, alors qu’il y a deux ans, seul près 80% des entreprises en bénéficiaient.Toutefois, dans 72% des cas, le RSSI est encore un homme ou une femme seul(e) ou en binôme seulement !….

Accès au Système d'Information de l'entreprise

Quelle est votre politique d’accès au Système d'Information de l'entreprise ?

Technologies de sécurité / lutte antivirale, anti-intrusion, gestion des vulnérabilités

Quelles technologies de sécurité utilisez-vous pour lutter contre les vulnérabilités, les intrusions ?

Veille en vulnérabilités et en solutions de sécurité

Réalisez-vous une veille permanente en vulnérabilités et en solutions de sécurité ?

Audit

Les SI, qu’ils soient directement développés en interne ou via des prestataires, voire acquis (progiciels), se doivent d’être régulièrement surveillés d’un point de vue sécurité.

Les vulnérabilités étant monnaie courante, il convient de mettre en place une veille et des processus de mise à jour particuliers. Cette veille en vulnérabilités

Douhaji mohamed

et en solutions de sécurité est en nette progression. L’impact des failles publiées et faisant régulièrement la une des journaux aidant sûrement à cette prise de conscience.

Formalisation des procédures de déploiement de correctifs de sécurité

Avez-vous formalisé des procédures de déploiement de correctifs de sécurité (patch management) ?

Typologie des incidents de sécurité

Au cours de l’année passée, à quel type d’incidents de sécurité votre entreprise a-t-elle été soumise ?

4-Méthode d’attaque

Menaces liées aux réseaux

Menaces passives

Écoute des lignes - Analyse de trafic

Menaces actives

Panne, mauvaise utilisation, pertes d'informationsContamination (virus, vers, spyware) - Spam, phishingChevaux de troie (Backdoors) - Dénis de servicesIntrusions - Bombes logiques

Douhaji mohamed

For more informations, Read the book…..

Douhaji mohamed