La sécurité informatique pour une petite équipe
-
Upload
interface-ulg-liege-science-park -
Category
Documents
-
view
85 -
download
3
Transcript of La sécurité informatique pour une petite équipe
LA “SÉCURITÉ INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Geeks Anonymes
LA “SÉCURITÉ INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Geeks Anonymes
« Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu »(http://www.clusif.asso.fr)
Responsable IT dans une petite structure ... ?
(c) Pierre-Olivier Bourge 2013
usersparc machines
responsable sécurité IT
admin système
admin réseau
maintenance
helpdesk
pc, mac, linux
brancher les PCs ...
OSes
scripts
et que sais-je encore ...
analyse de risques
réseau
Geek needed ?
time
ressources
“chef de projet”
“développeur”
“ 60 % des cas sont liés à de l’espionnage industriel ! ”Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013)
Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf
La sécurité informa3que ?
100% security is neither feasible nor the appropriate goal
(Source : KPMG.nl)
Cyber security will never be “solved” but will be “managed”(Source : Ravi Sandhu - UTSA Institute for Cyber Security)
(c) Pierre-Olivier Bourge 2013
La sécurité ?faut-‐il être parano pour autant ?
non ... mais ne soyez pas naïf !
véridique !Van Eck phreaking
DisponibilitéConfidentialité
IntégritéForce probante
HardwareSoftwareHumain
Environnement
IT
(c) Pierre-Olivier Bourge 2013
DisponibilitéConfidentialité
IntégritéForce probante
HardwareSoftwareHumain
Environnement
Sécurité Informatique
(c) Pierre-Olivier Bourge 2013
99% of the attacks are thwarted by basic hygiene and some luck
1% of the attacks are difficult and expensive to defend or detect
Encore faut-il savoir ce que l’on a à protéger ...
Control, monitor, and log all access to protected assets
DisponibilitéConfidentialité
IntégritéForce probante
HardwareSoftwareHumain
Environnement
Sécurité Informatique
(c) Pierre-Olivier Bourge 2013
Hardware : budget ?Software : budget ?
Humain : ressources & aware ?Environnement : menaces, risques ?
Patriot Act Cloud
S’assurer que tout changement du système ne reme4e pas en cause les mesures de sécurité établies pour protéger le patrimoine
DisponibilitéConfidentialité
IntégritéForce probante
HardwareSoftwareHumain
Environnement
(c) Pierre-Olivier Bourge 2013
Hardware : budget ?Software : budget ?
Humain : ressources & aware ?Environnement : menaces, risques ?
Sécurité Informatique
maillon le plus faible !
Effective cyber security is less dependent on technology than you think (KPMG.nl)
Types de risques
Sécurité IT• Où / quels sont les risques ?
peu importe
Vulnerability = leaving your car unlocked
Exposure = thief identifies this and opens the door.
Risk factor will increase if either factor is changed
(e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.)
Risk = Vulnerability * Exposure - Security
Types de risques
Sécurité IT• Où / quels sont les risques ?
peu importeDécider :1) ce qu’il y a à protéger2) de quoi ?3) comment ?Mode : sécurité par
défaut
Risk = Vulnerability * Exposure - Security
Bâtiment, bureaux, armoires, câbles, ...
Types de risques
port USB : vol de données ?(juice jacking)
BYOD = BYOD
Sécurité physique : Chiffrement (“cryptage”)
• depuis l’antiquité
• “masque jetable” (sécurité inconditionnelle = théoriquement incassable)
★ combiné à MQ
• symétrique / asymétrique
★ DES, Triple DES, AES, ... (symétrique), RSA, ... (asymétrique)
• problème :
★ générer clef réellement aléatoire (S/N) [phénomènes physiques]
★ transmettre la clef [valises diplomatiques]
(c) Pierre-Olivier Bourge 2013
Sécurité physique : Chiffrement (“cryptage”)
• Mac OS X : File Vault 2
• Toutes plateformes : TrueCrypt
www.truecrypt.org
HD ou contenant ...
• Windows : No, No, No !
• Attention à la gestion de la clef !
(c) Pierre-Olivier Bourge 2013
Types de risques : “physique” ...
• PCs/Macs : TrueCrypt / FileVault
• emails : TrueCrypt / OpenPGP / SSL
• protocoles sécurisés : https / ssh
(c) Pierre-Olivier Bourge 2013
Sécurité physique : Chiffrement (“cryptage”)
Types de risques : “écoute” ...
Sécurité physique : Effacement sécurisé
• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm, Wipe, etc.
• Windows : utilitaires
Cf. Eraser, CCleaner, SDelete, Piriform, etc.
(c) Pierre-Olivier Bourge 2013
Types de risques : “après” ...
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...(hardware, software)
Types de risques
• Connexions entrantes s + sortantes,• plusieurs routeurs / parefeux en série (différentes configurations)• plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA)• connexion externe : “min”• DMZ, IDS, etc.
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, VirusBarrier, Sophos, Avira,
McAfee, Avast!, ...
Types de risques
A5en6on ! On ne joue pas !
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...access rights (users &
machines), security logs, ...
Types de risques
• No root !• user is not admin• “least privilege”• BYOD = services, ports, accès, ... : à fermer• serveurs virtuels• Security Onion
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
Vous !
Types de risques
humain = le plus difficilecar le plus imprévisible
Vous = humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
e.g. : 5 lettres ou 2 mots du dictionnaire accolés
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations• informations sensibles• apprendre à identifier
les risques communs• que faire ? comment
gérer les informations sensibles ?
• changement de comportement
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations• “a password is the first
gateway to security breaches”
• types d’attaques communes
• comment générer un bon mot de passe
• comment retenir ses mots de passe ?
• le BYOD = BYOD
Confidentialité
Mots de passeComplexité / Changement régulier
Plusieurs !idéalement un et un seul pour chaque usage
un mot de passe hacké est une faille !... et s’il donne accès à tout ...
Non accessible par ailleurs !
Comment mémoriser ?
1) fichier ou partition cryptés
règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe
2) outil Norton (ou Keychain Access sur Mac)
Comment mémoriser de manière sécurisée ?
(c) Pierre-Olivier Bourge 2013
Types d’aCaques sur les mots de passe
1) problème n’est pas tellement à l’identification lors d’une connexion si• protocole : sécurisé• parefeu et services : bien configurés => bloqué
2) problème est plutôt :• hacker : faille, accès aux clefs/mots de passe sécurisés ?• combien de temps pour les casser ?
Attaques : où est le problème ?
(c) Pierre-Olivier Bourge 2013
Petite leçon sur le stockage (hachage) des mots de passe
dans les ordinateurs
(c) Pierre-Olivier Bourge 2013
Stockage mots de passe
Hash
hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD, Whirpool, etc.
Types d’aCaques sur les mots de passe
1) par force bruteteste toutes les combinaisons[exemple : HpAhTbd6nWx6cCDK]parade : augmenter la longueur du mot de passe (> 8 !)
2) par dictionnaireteste les noms communs ou propres, ou les mots de passe les plus courants[exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...]parade : éviter les noms communs ou propres, les mots avec un sens courant
3) par substitution ou insertionteste des noms substitués ou insérés[exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...]parade : éviter les substitutions et les insertions à partir de noms ou de mots courants
4) par séquence ou inversion de séquencesteste par les séries de chiffres, de caractères[exemple : 123456, abc123, drow (word), ...]parade : à éviter absolument
(c) Pierre-Olivier Bourge 2013
Mots de passe (exemples) :
4031
carre
Picarré
hzs!Y%2v
ACaques (force brute)
Temps maximum pour casser (en force brute)
instantané !
1/100ème seconde !
3 minutes
6 heures
Constante évolution : Hz , CPU => GPU
(c) Pierre-Olivier Bourge 2013
8 caractères aléatoires (Windows XP) en 6 heures pour un hacker !
et c’est même pire ... : e.g. tables arc-en-ciel, etc.
News NSA ?La NSA peut décoder tout type de communica9on chiffrée ?
Quelques chiffres de puissance de calcul à l’heure actuelle ...
CPUs GFlops X 8 alea (Windows)
Lenovo 2-Core
Mac 4-Core
Top 1-GPU
Hacker 25-GPU
SETI
BOINC
Tianhe-2
3 1 20 d
7 2 10 d
8 3 160 h
175 60 8 h
600.000 200.000 9 s
10.000.000 3.300.000 0,5 s
35.000.000 11.000.000 0,1 s
GFlops days / hours / secondsdays / hours / seconds
Hash
(c) Pierre-Olivier Bourge 2013
Types d’aCaques5) par séquence au clavier
teste des suites logiques au clavier[exemple : azerty, azeswxc, vgyrgb, ...]parade : éviter les substitutions à partir de noms
6) par répétitionteste les répétitions[exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)]parade : à éviter (n’apporte rien, augmente le signal dans l’encryption)
7) par rusevous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe[exemple : phishing (hameçonnage), attaque “sociale”, ...]parade : vérifier votre connexion à un site sécurisé,
ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ...
8) par virusun virus, ver, cheval de troie, etc. ouvre une faille dans le système[exemple : un fichier corrompu, un programme piraté, keylogger, etc.]parade : mettre à jour votre anti-virus (fait le reste)
éviter comportements à risque (téléchargements, phishing, etc.)
(c) Pierre-Olivier Bourge 2013
Types d’aCaques
9) par ... etc.
attaques par tables arc-en-ciels,
“temporelle”,analyse statistiques,surchiffrement,man-in-the-middle,etc.
parade :
the ability to learn is just as important as the ability to monitor (KPMG.nl)
(c) Pierre-Olivier Bourge 2013
En conclusion
• Sécurité
★ affaire de tous & pas que IT
★ technique + moi + les autres
★ humain : sensibilisation & éducation
★ vigilance, veille constante
★ évaluer les risques
★ pas parano ... mais pas naïf ...(c) Pierre-Olivier Bourge 2013
The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl)
Annexes
(c) Pierre-Olivier Bourge 2013
• Comment trouver un bon mot de passe
★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)
★ mnémotechnique (pseudo-aléatoire)
★ générateurs aléatoires (vrai = source de bruit) : random.org
★ générateurs pseudo-aléatoires (algorithmes)
Types de mots de passe
1) aléatoire brutla meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5(
règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués
2) phrase mnémotechniquepas loin de l’aléatoire brut lorsque suffisamment longue
exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK)
règle : initiales des mots, insérer chiffres, ponctuations, etc.
Types
(c) Pierre-Olivier Bourge 2013
Types de mots de passe
3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri
NOK ! Attaque par dictionnaire et substitution
4) style SMStrop variable : si très condensé OK si phrase longue mais sinon ... ?
Bof ! Attaque par dictionnaire et substitution
Types
(c) Pierre-Olivier Bourge 2013
Types de mots de passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a
OK à Bof ! Force brute puis décode tout facilement ...Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8)
6) se méfier des sites non professionnels
exemple : le site références
Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ?
Types
(c) Pierre-Olivier Bourge 2013