La sécurité informatique pour une petite équipe

LA “SÉCURITÉ INFORMATIQUE” POUR

UNE PETITE ÉQUIPE

Pierre-Olivier Bourge17 décembre 2013

(c) Pierre-Olivier Bourge 2013

Geeks Anonymes

LA “SÉCURITÉ INFORMATIQUE” POUR

UNE PETITE ÉQUIPE

Pierre-Olivier Bourge17 décembre 2013


Geeks Anonymes

« Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger.

La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement

utilisées dans le cadre prévu »(http://www.clusif.asso.fr)

Responsable IT dans une petite structure ... ?


usersparc machines

responsable sécurité IT

admin système

admin réseau

maintenance

helpdesk

pc, mac, linux

brancher les PCs ...

OSes

scripts

et que sais-je encore ...

analyse de risques

réseau

Geek needed ?

time

ressources

“chef de projet”

“développeur”

La sécurité ?

pour les autres ?

Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...

“ 60 % des cas sont liés à de l’espionnage industriel ! ”Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013)

Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf

La sécurité informa3que ?

100% security is neither feasible nor the appropriate goal

(Source : KPMG.nl)

Cyber security will never be “solved” but will be “managed”(Source : Ravi Sandhu - UTSA Institute for Cyber Security)


La sécurité ?faut-‐il être parano pour autant ?

non ... mais ne soyez pas naïf !

véridique !Van Eck phreaking

La sécurité ?

connaissez-‐vous ceci ?

Et ses implications ... ?!

Patriot Act

La sécurité ?

Patrio

t Act

DisponibilitéConfidentialité

IntégritéForce probante

HardwareSoftwareHumain

Environnement

IT





Environnement

Sécurité Informatique


99% of the attacks are thwarted by basic hygiene and some luck

1% of the attacks are difficult and expensive to defend or detect

Encore faut-il savoir ce que l’on a à protéger ...

Control, monitor, and log all access to protected assets




Environnement



Hardware : budget ?Software : budget ?

Humain : ressources & aware ?Environnement : menaces, risques ?

Patriot Act Cloud

S’assurer que tout changement du système ne reme4e pas en cause les mesures de sécurité établies pour protéger le patrimoine




Environnement


Hardware : budget ?Software : budget ?

Humain : ressources & aware ?Environnement : menaces, risques ?


maillon le plus faible !

Effective cyber security is less dependent on technology than you think (KPMG.nl)

Types de risques

Sécurité IT• Où / quels sont les risques ?

peu importe

Vulnerability = leaving your car unlocked

Exposure = thief identifies this and opens the door.

Risk factor will increase if either factor is changed

(e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.)

Risk = Vulnerability * Exposure - Security

Types de risques

Sécurité IT• Où / quels sont les risques ?

peu importeDécider :1) ce qu’il y a à protéger2) de quoi ?3) comment ?Mode : sécurité par

défaut

Risk = Vulnerability * Exposure - Security

Bâtiment, bureaux, armoires, câbles, ...

Types de risques

port USB : vol de données ?(juice jacking)

BYOD = BYOD

Sécurité physique : Chiffrement (“cryptage”)

• depuis l’antiquité

• “masque jetable” (sécurité inconditionnelle = théoriquement incassable)

★ combiné à MQ

• symétrique / asymétrique

★ DES, Triple DES, AES, ... (symétrique), RSA, ... (asymétrique)

• problème :

★ générer clef réellement aléatoire (S/N) [phénomènes physiques]

★ transmettre la clef [valises diplomatiques]



• Mac OS X : File Vault 2

• Toutes plateformes : TrueCrypt

www.truecrypt.org

HD ou contenant ...

• Windows : No, No, No !

• Attention à la gestion de la clef !


Types de risques : “physique” ...

• PCs/Macs : TrueCrypt / FileVault

• emails : TrueCrypt / OpenPGP / SSL

• protocoles sécurisés : https / ssh



Types de risques : “écoute” ...

Sécurité physique : Effacement sécurisé

• Mac OS X : intégré OS (cmd+empty trash)

• Linux : srm, Wipe, etc.

• Windows : utilitaires

Cf. Eraser, CCleaner, SDelete, Piriform, etc.


Types de risques : “après” ...

Sécurité physique : Effacement sécurisé ?

Bâtiment, bureaux, armoires, câbles, ...

Types de risques

Bâtiment, bureaux, armoires, ...

Parefeux & routeurs, ...(hardware, software)

Types de risques

• Connexions entrantes s + sortantes,• plusieurs routeurs / parefeux en série (différentes configurations)• plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA)• connexion externe : “min”• DMZ, IDS, etc.


Parefeux & routeurs, ...

Norton anti-virus, ClamXav, VirusBarrier, Sophos, Avira,

McAfee, Avast!, ...

Types de risques

A5en6on ! On ne joue pas !



Norton anti-virus, ClamXav, ...

Windows, Mac OS, ...access rights (users &

machines), security logs, ...

Types de risques

• No root !• user is not admin• “least privilege”• BYOD = services, ports, accès, ... : à fermer• serveurs virtuels• Security Onion



Norton anti-virus, ClamXav, ...

Windows, Mac OS, ...

Vous !

Types de risques

humain = le plus difficilecar le plus imprévisible

Vous = humain

• Sensibilisation / éducation

★ dangers / risques

★ mots de passe

★ comportement

✦ ! pas uniquement IT

e.g. : 5 lettres ou 2 mots du dictionnaire accolés

Humain



★ mots de passe

★ comportement



Sensibilisations

Humain



★ mots de passe

★ comportement



Sensibilisations• informations sensibles• apprendre à identifier

les risques communs• que faire ? comment

gérer les informations sensibles ?

• changement de comportement

Humain



★ mots de passe

★ comportement



Sensibilisations• “a password is the first

gateway to security breaches”

• types d’attaques communes

• comment générer un bon mot de passe

• comment retenir ses mots de passe ?

• le BYOD = BYOD

Confidentialité

Mots de passeComplexité / Changement régulier

Plusieurs !idéalement un et un seul pour chaque usage

un mot de passe hacké est une faille !... et s’il donne accès à tout ...

Non accessible par ailleurs !

Comment mémoriser ?

1) fichier ou partition cryptés

règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe

2) outil Norton (ou Keychain Access sur Mac)

Comment mémoriser de manière sécurisée ?


Types d’aCaques sur les mots de passe

1) problème n’est pas tellement à l’identification lors d’une connexion si• protocole : sécurisé• parefeu et services : bien configurés => bloqué

2) problème est plutôt :• hacker : faille, accès aux clefs/mots de passe sécurisés ?• combien de temps pour les casser ?

Attaques : où est le problème ?


Petite leçon sur le stockage (hachage) des mots de passe

dans les ordinateurs


Stockage mots de passe

Hash

hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD, Whirpool, etc.

Types d’aCaques sur les mots de passe

1) par force bruteteste toutes les combinaisons[exemple : HpAhTbd6nWx6cCDK]parade : augmenter la longueur du mot de passe (> 8 !)

2) par dictionnaireteste les noms communs ou propres, ou les mots de passe les plus courants[exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...]parade : éviter les noms communs ou propres, les mots avec un sens courant

3) par substitution ou insertionteste des noms substitués ou insérés[exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...]parade : éviter les substitutions et les insertions à partir de noms ou de mots courants

4) par séquence ou inversion de séquencesteste par les séries de chiffres, de caractères[exemple : 123456, abc123, drow (word), ...]parade : à éviter absolument


Mots de passe (exemples) :

4031

carre

Picarré

hzs!Y%2v

ACaques (force brute)

Temps maximum pour casser (en force brute)

instantané !

1/100ème seconde !

3 minutes

6 heures

Constante évolution : Hz , CPU => GPU


8 caractères aléatoires (Windows XP) en 6 heures pour un hacker !

et c’est même pire ... : e.g. tables arc-en-ciel, etc.

News NSA ?La NSA peut décoder tout type de communica9on chiffrée ?

Quelques chiffres de puissance de calcul à l’heure actuelle ...

CPUs GFlops X 8 alea (Windows)

Lenovo 2-Core

Mac 4-Core

Top 1-GPU

Hacker 25-GPU

SETI

BOINC

Tianhe-2

3 1 20 d

7 2 10 d

8 3 160 h

175 60 8 h

600.000 200.000 9 s

10.000.000 3.300.000 0,5 s

35.000.000 11.000.000 0,1 s

GFlops days / hours / secondsdays / hours / seconds

Hash


Types d’aCaques5) par séquence au clavier

teste des suites logiques au clavier[exemple : azerty, azeswxc, vgyrgb, ...]parade : éviter les substitutions à partir de noms

6) par répétitionteste les répétitions[exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)]parade : à éviter (n’apporte rien, augmente le signal dans l’encryption)

7) par rusevous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe[exemple : phishing (hameçonnage), attaque “sociale”, ...]parade : vérifier votre connexion à un site sécurisé,

ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ...

8) par virusun virus, ver, cheval de troie, etc. ouvre une faille dans le système[exemple : un fichier corrompu, un programme piraté, keylogger, etc.]parade : mettre à jour votre anti-virus (fait le reste)

éviter comportements à risque (téléchargements, phishing, etc.)


Types d’aCaques

9) par ... etc.

attaques par tables arc-en-ciels,

“temporelle”,analyse statistiques,surchiffrement,man-in-the-middle,etc.

parade :

the ability to learn is just as important as the ability to monitor (KPMG.nl)


En conclusion

• Sécurité

★ affaire de tous & pas que IT

★ technique + moi + les autres

★ humain : sensibilisation & éducation

★ vigilance, veille constante

★ évaluer les risques

★ pas parano ... mais pas naïf ...(c) Pierre-Olivier Bourge 2013

The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl)

Annexes


• Comment trouver un bon mot de passe

★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)

★ mnémotechnique (pseudo-aléatoire)

★ générateurs aléatoires (vrai = source de bruit) : random.org

★ générateurs pseudo-aléatoires (algorithmes)

Types de mots de passe

1) aléatoire brutla meilleure combinaison

exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5(

règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués

2) phrase mnémotechniquepas loin de l’aléatoire brut lorsque suffisamment longue

exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK)

règle : initiales des mots, insérer chiffres, ponctuations, etc.

Types



3) coller quelques mots + fautes, substitutions

exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri

NOK ! Attaque par dictionnaire et substitution

4) style SMStrop variable : si très condensé OK si phrase longue mais sinon ... ?

Bof ! Attaque par dictionnaire et substitution

Types



5) clef cryptographique commune

exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a

OK à Bof ! Force brute puis décode tout facilement ...Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8)

6) se méfier des sites non professionnels

exemple : le site références

Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ?

Types


La sécurité informatique pour une petite équipe

Documents

Transcript of La sécurité informatique pour une petite équipe