La sécurité informatique

La sécurité informatique:

Risques et enjeux

MANSOURI SEIFEDDINE FERJANI SABER 8 février 2012

2

Sommaire

1. Introduction2. Motivation3. Types de menaces4. Cryptologie5. Entretien à l’ANSI6. Contre mesures

3

Pourquoi la sécurité ?

Protéger la réputation Satisfaire aux exigences légales Eviter des pertes financières La sécurité = {mesures} permettant

d’assurer la protection de l’information & Systèmes Interception: vise la confidentialité des

informations Modification: vise l’intégrité des informations Interruption: vise la disponibilité des

informations Fabrication: vise l’authenticité des informations

4

Se protéger contre qui ?

Externes Pirates Saboteurs Concurrents Anciens employés Organisations criminelles

Internes Employés mécontents Fraudeurs Complices / Espions Innocents employés

5

La gestion de risques

Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact.

Risque = Vulnérabilité Ÿ Menace Ÿ Impact Contre mesure

Risque = Vulnérabilité Ÿ Menace Ÿ Impact Contre mesure

Vulnérabilité:Clés sous le tapis.

Menace: Cambrioleur essaie d’entrer.

Impact: Cambrioleur casse l’armoire, vole de l’argent, crée des ennuis.

6

Que faut il faire ?

SINON???

7

Sommaire


8

Motivation

Le gain financier: Récupération de num de cartes bancaires, ...

Vengeance: Site www.aljazeera.net lors de la couverture de la guerre d'irak

Curiosité: Attaques d'étudiants du MIT sur le premier ordinateur IBM 704 au MIT en 1959.

Recherche d'émotions fortes

11

Cyber arme STUXNET

Stuxnet est un ver de complexité très inhabituelle pour un malware. Il a été décrit par différents experts comme une cyber arme, conçue pour attaquer une cible industrielle déterminée. Il s'agirait d'une première dans l'histoire.Découvert en juin 2010, il a affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran.Le général israélien Gabi Ashkenazi a affirmé, lors de son départ à la retraite, être le père du ver Stuxnet.

12

http://www.youtube.com/watch?v=7g0pi4J8auQ&feature=youtube_gdata_player

13

Sommaire


14

Types de menaces

1. Programmes malveillants• Virus• Vers• Spyware• porte dérobée/Backdoors• Cheval de Troie

2. Techniques d’attaques• ARP/DNS Poisoning• Phishing• Injection• Déni de services• IP Spoofing

15

Les Virus

Un virus est un logiciel qui s’attache à tout type de document électronique, et dont le but est d’infecter ceux-ci et de se propager sur d’autres documents et d’autres ordinateurs. Un virus a besoin d’une intervention humaine pour se propager.

16

Les Vers (WORM)

Un ver se reproduit en s’envoyant à travers un réseau (e-mail, Bluetooth, chat..) Le ver n’a pas besoin de l’interaction humaine pour pouvoir se proliférer

17

Les spywares

Les spywares sont des logiciels parasites indétectables. Ils n'ont pas une action destructive (comme les virus), mais servent à espionner vos habitudes et vos "besoins", pour des buts "commerciaux malsains".

18

Cheval de Troie

Programme bénin (jeux, documents…) cachant un autre programme. Lorsque le programme est exécuté, le programme caché s’exécute aussi et pourrait ouvrir une « porte cachée ».

19

porte dérobée/Backdoors

Moyen de contourner les mécanismes de sécurité ; il s’agit d’une faille du système de sécurité due à une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier).Ces passages secrets sont ménagés par les concepteurs de logiciels pour fournir des accès privilégiés pour les tests ou la maintenance.

20

Rootkit

Code malicieux permettant à un attaquant de maintenir en temps réel un accès frauduleux à un système informatique, se greffant généralement dans le noyau du système d'exploitation.

A la différence d'un virus ou d'un ver, un rootkit ne se réplique pas.

Agit sur une machine déjà compromise. Il est utilisé dans une étape après intrusion et l'installation d'une porte dérobée pour cacher tous les changements effectués lors de l'intrusion afin de préserver l'accès à la machine.

21

Types de menaces

1. Programmes malveillants• Virus• Vers• Spyware• porte dérobée/Backdoors• Cheval de Troie

2. Techniques d’attaques• ARP/DNS Poisoning• Phishing• Injection• Déni de services• IP Spoofing

22

ARP Poisoning

L'objectif de l'attaque consiste à s'interposer entre deux machines du réseau et de transmettre à chacune un paquet falsifié indiquant que l'adresse MAC de l'autre machine a changé, l'adresse ARP fournie étant celle de l'attaquant.De cette manière, à chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice.

23

spoofing IP

L'«usurpation d'adresse IP» (spoofing IP) est une technique consistant à remplacer l'adresse IP de l'expéditeur IP par l'adresse IP d'une autre machine.En effet, un système pare-feu fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées à communiquer avec les machines internes au réseau. L’usurpation d’IP permet de contourner le mur de feu.

24

spoofing IP

Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et sera relayé à la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejeté par le pare-feu.

25

phishing

Le phishing traduit parfois en «hameçonnage», est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.La technique du phishing est une technique d'ingénierie sociale, c'est-à-dire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.

26

Déni de services

Une « attaque par déni de service » est un type d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent être utilisés et consultés, On distingue deux types: Les dénis de service par saturation Les dénis de service par exploitation de

vulnérabilités

27

Déni de services distribué (DDoS)

28

Injection

Une faille d'injection, telle l'injection SQL, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées.

29

Faille XSS

Le cross-site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d'informations, etc.). Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X étant une abréviation commune pour « cross » (croix) en anglais.

30

Injection de données arbitraires par XSS

31

Depassement de tampon

Le dépassement de tampon ou débordement de tampon (en anglais, buffer overflow) est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus.Lorsque le bug se produit non intentionnellement, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système.

32

Hijacking

Un pirate peut craquer (cible) le mot de passe de la session. Mais si vous choisissez un mot de passe robuste, cela lui prendra beaucoup de temps. Alors pourquoi ne pas attendre que la victime se connecte sur la session et prendre sa place ?

33

OWASP Top 10 Risk Rating Methodology

34

Sommaire


35

Problèmes de Sécurité sur Internet

Toute information circulant sur Internet peut être capturée et enregistrée et/ou modifiée

Problème de confidentialité et d’intégrité Toute personne peut falsifier son adresse

IP (spoofing) ce qui engendre une fausse identification

Problème d’authentification

36

Cryptologie

La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages en s'aidant souvent de secrets ou clés.La cryptanalyse est la science qui consiste à tenter de déchiffrer un message ayant été chiffré sans posséder la clé de chiffrement.

37

Cryptographie

Algorithmes de chiffrement faibles ROT13, Chiffre de César, Chiffre de Vigenère.

Algorithmes de cryptographie symétrique Chiffre de Vernam, DES, 3DES, AES, RC4, RC5

Algorithmes de cryptographie asymétrique RSA (chiffrement et signature), DSA (signature)

Diffie-Hellman (échange de clé) Fonctions de hachage

MD5, SHA-1, SHA-256 ;

38

Cryptographie Symétrique

39

Cryptographie Symétrique

Utilise des opérations de base: Substitution, Transposition, Opérations algébriques simples

DES : Data Encryption Standard Développé par IBM Utilise des clé de taille 56 bits.

AES : Advanced Encryption Standard Standard cryptographique depuis 2000 Utilise des clés de tailles 128, 192 et 256 bits

40

Cryptographie Asymétrique

Chaque personne dispose d’une paire de clé : Clé privée : connue uniquement par son propriétaire Clé publique : publiée dans des annuaires publiques

Si on crypte avec l’une de ces clés le décryptage se fait uniquement avec l’autre

Les algorithmes asymétriques sont des fonctions mathématiques basées sur des problèmes mathématiques très compliqués

La résolution de ces problèmes est pratiquement impossible sans connaître un paramètre (l’une des clés)

41

Mode 1: cryptage

Ce mode assure la confidentialité des données

42

Mode 2: signature

Ce mode assure l’authenticité de l’émetteur

43

Fonctions de Hashage

Fonctions à sens unique : pour un entier x, il est simple de calculer H(x), mais étant donner H(x), il est pratiquement impossible de déterminer x

La fonction de hashage permet d’extraire une empreinte qui caractérise les données

Une empreinte a toujours une taille fixe indépendamment de la taille des données

Il est pratiquement impossible de trouver deux données ayant la même empreinte

44

Signature Électronique

Exemples:• MD5 : Message Digest

5 (empreinte de taille 128 bits)

• SHA-1 : Secure Hash algorithm (empreinte de taille 160 bits)

45

La certification électronique

Les crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle Attack

Solution : Certificats électroniques

46

Pretty Good Privacy

D'après Zimmermann :« Que se passerait-il si tout le monde estimait que les citoyens honnêtes devraient utiliser des cartes postales pour leur courrier ? Si un non-conformiste s’avisait alors d’imposer le respect de son intimité en utilisant une enveloppe, cela attirerait la suspicion. Peut-être que les autorités ouvriraient son courrier pour voir ce que cette personne cache. De la même manière, ce serait excellent si tout le monde utilisait la cryptographie de manière systématique pour tous ses e-mails, qu’ils soient innocents ou non, de telle sorte que personne n’attirerait la suspicion en protégeant l’intimité de ses e-mails par la cryptographie. Pensez à le faire comme une forme de solidarité. »

47

Cryptanalyse

L'analyse fréquentielle L'indice de coïncidence L'attaque par mot probable L'attaque par dictionnaire L'attaque par force brute Cryptanalyse linéaire Cryptanalyse différentielle Cryptanalyse différentielle-linéaire Cryptanalyse quadratique et modulo N

48

Wired Equivalent Privacy

En 2005, une équipe du FBI des États-Unis d'Amérique fit la démonstration qu'il est possible de pénétrer un réseau protégé par du WEP en 3 minutes en utilisant des outils disponibles publiquement (Aircrack)

Depuis juillet 2006, il est possible de pénétrer les réseaux protégés par WEP en quelques secondes seulement, en tirant parti de la fragmentation des paquets pour accélérer le cassage de la clé.

49

Wi-Fi Protected Access

En novembre 2008, deux chercheurs allemands en sécurité ont annoncé avoir découvert une faille de sécurité dans le mécanisme de sécurité WPA utilisé avec l'algorithme TKIP. A la fin du mois d'août 2009, deux japonais mettent au point une attaque permettant, en une minute, de falsifier des paquets de type ARP ou DNS. Celle-ci utilise une amélioration de l'attaque Beck-Tews en la combinant à une attaque de type "middle-man".

50

Sommaire


51

ANSI - TunCERT

52

Qu’est-ce qu’un CERT?

Un CSIRT est une équipe d’experts en sécurité informatique ayant pour mission principale de répondre aux incidents en proposant les services nécessaires au traitement des attaques et en aidant leurs parties prenantes à restaurer les systèmes qui en ont fait l’objet.

Ils publient des bulletins et avis de vulnérabilités concernant les logiciels et matériels en usage, et informent les utilisateurs des exploits et virus tirant parti des failles constatées.

53

Le cyber espace tunisien

Bande passante : 37 Gbps 10395 sites 447 009 abonnés

Année Plage IP Nombre

2000 193.95.0.0 - 193.95.127.255 32768

2002 196.203.0.0 - 196.203.255.255 98304

2005 213.150.160.0 - 213.150.191.255

106496

2007 41.224.0.0 - 41.231.255.255 630784

2010 197.0.0.0 - 197.31.255.255 2727936

54

Carte des attaques

55

Entretien

Mr. Hassen BAHRI Manager du tunCERT

NACS (2002 – 2005) ENSI (1999 – 2002 ) IPEIT (1997 – 1999 )

Date de l’entretien: 27 janvier 2012 Durée: 1H30

tunCERT-Tunisian Computer Emergency Response TeamAgence Nationale de la Sécurité Informatique

Ministère des technologies de l'information et de la communication Adresse: 94, Av Jugurtha, Mutuelle Ville,

1002 Tunis, TunisieTel: 71 843 200 Fax: 71 846 363 Site web: www.ansi.tn

56

Sommaire


57

Aucun des mécanismes de sécurité ne suffit par lui-même. Il

les faut tous !

Sécurité Organisationnell

e

Sécurité des utilisateurs

Sécurité Applicative

Sécurité des serveurs

La sécurité réseau

58

vérification de la sécurité

La mise à jour du système d’exploitation et même pour les systèmes mobiles afin de s’assurer de l’absence de toute faille connue qui pourrait être utilisée par des pirates ou par des virus.

La mise à jour de l’antivirus. Vérifiez s’il y a des symptômes indiquant que votre

ordinateur est infecté ou non (Lenteur anormale, paramètres systèmes modifiés, redirection du navigateur vers des sites non sollicités, affichage de Pop-up, endommagement de fichier, logiciel qui fonctionne anormalement). Au cas échéant lancez un scan antiviral complet sur votre disque.

59

Règles simples et très efficaces

Sauvegarde régulière de vos fichiers sensibles sur des supports amovibles.

Ne pas installer des logiciels douteux, et notamment ceux de partage de fichiers ou de contrôle de PC à distance.

Eviter la navigation sur les sites douteux, surtout ceux qui offrent des logiciels craqués ou à contenu indécent.

Utiliser des mots de passe robustes et difficiles à deviner. N’oublier pas de les changer périodiquement ou en cas de soupçon.

Hors d’usage, il faut éteindre l’ordinateur. Avoir le bon réflexe en cas d’incident : déconnectez

votre PC, lancez un scan antiviral et contacter le tunCERT pour demander de l’assistance.

60

Pour les administrateurs web S’assurer de la sécurité au niveau de la plateforme

d’hébergement ou déléguer cette tâche à votre hébergeur. Vérifier le déploiement des solutions de sécurité nécessaires:

contrôle antiviral, filtrage, détection d’intrusion et filtrage applicatif.

S’assurer de l’utilisation des dernières versions des systèmes de gestion de contenu (CMS comme Joomla, Drupal, WordPress, Typo3), si le cas se présente.

Auditer votre application web pour identifier les failles qui peuvent être exploitées, en faisant appel à un expert dans le domaine si c’est possible.

Appliquer les bonnes règles de gestion : Contrôle d’accès à la zone d’administration, gestion de mots de passe, vérification des logs, sauvegarde des données, plan de secours en cas de problème majeur, utilisation des protocoles sécurisés pour l’administration à distance (HTTPS, SSH, SCP).

Avoir une procédure de veille pour s’informer sur les nouvelles failles et appliquer les correctifs en un temps optimal (mailing-list du tunCERT).

Vérifier la sécurité de votre poste d’administration.

61

Merci

www.securinets.com www.honeynet.tn www.ansi.tn

http://www.securinets.com/

http://www.honeynet.tn/

http://www.ansi.tn/

La sécurité informatique

Education

Transcript of La sécurité informatique