Denial of Service (DoS)

Audit des systèmes d'information de gestion – Prof. Campos

Présentation par Sophie Biffiger, Cécile Ginier,Beat Grand, Joëlle Savoldelli, Guilhem Tardy

11 mars 2014

1. Plan2. Introduction3. Analyse des risques

3.1 Grande surface du quartier3.2 Banque3.3 Société de ventes par correspondance et on-line3.4 Gouvernement cantonal en période d'élection3.5 Kiosque du coin

4. Conclusion

Denial of Service (DoS)

«Attaque informatique qui rend un service indisponible et

inutilisable par saturation de son serveur ou de son réseau»

Intrusion intentionnelle et malveillante

Méthodes

• Inondation du réseau via l’envoi de nombreux messages• Exploitation de vulnérabilités dans OS ou application• Attaque asymétrique : court message entraînant une

réponse détaillée

Evolution• Nombre d’attaques décuplé par l’évolution :

– Des systèmes IT toujours plus répandus– Des technologies– Du Haut-débit

• Limites du DoS :– Ressources limitées de l’attaquant– Identification des requêtes illégitimes

Distributed Denial of Service (DDoS)

• Attaque simultanée depuis plusieurs machines– Plusieurs personnes, ou– Une personne contrôlant plusieurs « bots »

• Attaque via plusieurs serveurs

Motivation

• Atteinte envers l’activité économique ou la réputation d’une entreprise

• Demande de rançon• Représailles• Acte politique ou idéologique• Défi personnel (reconnaissance entre hackers)

Ces dernières semaines

• Alphadex (28.2.2014 - 2.3.2014)

– affecte des centaines de sites web et messageries

• Meetup (2.3.2014)

– 400Gbps– affecte le site web et les applications– rançon

• Russie - Ukraine (4.3.2014)

– affecte l’infrastructure de téléphones mobiles

Grande surface du quartierCirconstances Risques Impacts

Gestion de la chaîne logistique (GCL)

Empêcher la grande surface d’effectuer ses commandes

Pénurie de stockPerte d’opportunités de vente et de clients

Caisses enregistreuses reliées au système ou paiements par cartes

Empêcher la vente Perte d’opportunités de vente et de clients

Gestion informatisée du stock

Impossibilité de retirer les produits périmés à temps

Perte de réputation

Caméras de surveillance Pas d’enregistrement vidéo, pas de preuve

Perte financière en cas de vol

Système de domotique Blocage de l’ordinateur central

Empêcher la surface de fonctionner correctement

BanqueCirconstances Risques Impacts

Système de retrait par cartes

Empêcher l’utilisation des services bancaires

Perte d’opportunités de vente (commission)

Système de gestion des comptes clients

Empêcher l’accès à la base de données

Refus de toutes transactions

Utilisation du service E-banking

Empêcher l’accès aux données et les transactions

Mécontentement des clients

Utilisation d’internet pour les transactions en bourse

Empêcher les achats et ventes de titres

Perte de crédibilité et éventuel dédommagement

Société de ventes par correspondance et on-lineCirconstances Risques Impacts

Prise des commandes par téléphone

Saturation de leur service téléphonique

Perte d’opportunités de ventes et de clients

Vente à travers un site internet

Empêcher l’accès au site internet

Perte de ventes et de clients

Vente à travers un site internet

Incapacité de passer correctement sa commande

Perte de ventes et de clients

Système de gestion des clients et des livraisons

Empêcher la société de connaître les livraisons à effectuer

Perte de réputation et frais de dédommagement

Gouvernement cantonal en période d'électionUtilisation du vote électronique dans le canton de Neuchâtel, Genève, Zürich

Circonstances Risques ImpactsUtilisation d’internet pour voter

Impossibilité de voter Perte de crédibilité du système, probable perte de voix

Utilisation d’internet pour voter

Votes effectués mais non transférés

Biais les résultats, éventuelle annulation du vote, perte de crédibilité

Système d’envoi des résultats par internet

Blocage du système de la commune ou du canton

Impossible de réunir les votations

Kiosque du coinCirconstances Risques Impacts

Caisses enregistreuses reliées au système ou paiements par cartes

Empêcher la vente Perte d’opportunités de vente et de clients

Système informatisé pour validation des tickets de loterie

Impossibilité de valider les tickets

Perte d’opportunités de ventes

Caméras de surveillance Risque de vols Perte financière

Mesures

• Mener une veille active • Filtrer le trafic• Etablir des profils types de comportements• Test des adresses sources…

Protection intelligente et flexible

Conclusion

• Une société de ventes par correspondance (et on-line)• Une banque

• La grande surface• Le gouvernement cantonal en période d’élection

• Le kiosque du coin

• Avec le développement des Systèmes IT, les risques et les impacts des DoS deviennent de plus en plus importants.

Merci pour votre attention