Master Sécurité des Systèmes Informatiques

2013 - 2014

système d’information :

L’ensemble des moyens nécessaires à l’élaboration, au traitement, au stockage, à l’acheminement et à l’exploitation

des informations

SI représente un patrimoine essentiel de l’entreprise

la confidentialité et la disponibilité de l’information constitue un enjeu très important pour la compétitivité de l’entreprise

La sécurité du système d’information :

Ensemble de mesures de sécurité physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer:

• La confidentialité et l’intégrité des données de son système d'information

• La protection de ses biens informatiques

• la continuité de service

Les systèmes informatiques sont au cœur des systèmes d´information

Ils sont devenus la cible de ceux qui convoitent l’information

Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes informatiques.

La sécurité informatique est la science qui permet de s’assurer que celui qui consulte ou modifie des données du système en a l’autorisation

Les principaux objectifs à garantir: Authentification : vérifier l’identité des personnes qui veulent manipuler l’information Confidentialité : L’information ne peut être connue que par les personnes autorisées Disponibilité : L’information doit être utilisable à la demande Intégrité : L’information ne doit pas être altérée ou détruite par accident ou malveillance Non répudiation : L’absence de possibilité de contestation d’une action une fois celle-ci est effectuée

Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une ressource d’informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource

La vulnérabilité caractérise les composants du système(matériel, logiciel, les règles, les procédures, personnel) susceptibles d’être attaquées avec succès

Une vulnérabilité est exploitée par une menace pour causer une perte

Exemples de vulnérabilités : Utilisation des mots de passe non robustes Présence de comptes non protégés par mot de passe

La sécurité est cher et difficile: Les organisations n’ont pas de budget pour ça

La sécurité ne peut être sûr à 100%, elle est même souvent inefficace

La politique de sécurité est complexe et basée sur des jugements humains

Les organisations acceptent de courir le risque, la sécurité n’est pas une priorité

De nouvelles technologies (et donc vulnérabilités) émergent en permanence

Les systèmes de sécurité sont faits, gérés et configurés par des hommes

…

accidentelles Intentionnelles

Panne disque

Chute de tension

Echange des disquettes infectée

…

Le vol

L’écoute

La fouille …

Les attaques d’accès

Les attaques de modification

Les attaques par saturation (Déni de service)

Les attaques de répudiation

Attaque = cible + méthode + Vulnérabilités

Ingénierie sociale : L’attaquant établit des relations avec le personnel pour obtenir des informations sur les mots de passe, La topologie du réseau,…

Portes dérobées (backdoors) : injecter un code dans la cible pour l’exploiter plus tard

Sniffing : L’attaquant se met à l’écoute sur le réseau pour obtenir des informations

…

Virus: un programme caché dans un autre qui peut s’exécuter et se reproduire en infectant d’autres programmes ou d’autres ordinateurs

Ver: un programme qui se copie lui-même mais qui n’affecte pas d’autres fichiers relâcher un ver dans internet permet de ralentir le trafic

Bombe logique: un programme qui se déclenche à une date ou à un instant donnée

Macro virus: Ils sont insérés dans certains fichiers d’extensions doc, xls, ppt…et ils donnent la possibilité d’exécuter de petits programmes spécifiques sur le document qui les contient

cheval de Troie: est un programme qui lui est un ver ou autre type de programme aux effets pervers

…

Le flooding: Envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau.

Le smurf: S’appuie sur le ping et les serveurs de broadcast. On falsifie d’abord son adresse IP pour se faire passer pour la machine cible

Le débordement de tampon: On envoie à la machine cible des données d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine cible il y aura débordement des variables internes.

…

Le IP spoofing: se faire passer pour une autre machine en falsifiant son adresse IP (Elle est en fait assez complexe)

Attaque passive : c’est la moins dangereuse

Ne modifie pas l’information

Consultation de l’information

Attaque active : ce type d’attaque est dangereux

Modifie l’état d’une information, d’un serveur ou d’une communication

Connexion frauduleuse à un host ou un réseau

Altération des messages en transit sur un réseau (Denis de service)

?

Risque • Fonction de la menace et de la vulnérabilité • Caractérisé par une probabilité et un impact

Risque pays Risque de taux Risque de crédit Risque de vol Risque d’approvisionnement Risque de change Risque social Risque environnemental Risque fiscal : Rq : fraude fiscale. Le risque fiscal est sous-

estimé Risque d’exploitation Risque de catastrophe, séisme 2001 Risque stratégique Risque d’intrusion

Stratégie ◦ Définition et qualification des risques ◦ Stratégie d’audit

Evaluation des vulnérabilités ◦ Evaluation de vulnérabilités ◦ Plan d’action

Moyens de protection ◦ Mise en oeuvre des moyens de protection ◦ Plan de communication et de formation

Actions de suivi ◦ Mesure de la conformité ◦ Plan d’audit

Définition et qualification des risques :

Identifier l’ensemble des risques ◦ Inhérents à l’activité et au secteur

◦ Propres à l’organisation

◦ Etablir une classification (par impact, …)

◦ Obtenir la validation de la Direction Générale

Elaboration de la stratégie d’audit :

Concevoir une charte d’audit

Attribuer les responsabilités

Allouer les ressources

Evaluation des vulnérabilités : définir les outils et les moyens d’investigation évaluer les dispositifs en place ◦ détection et prévention ◦ protection ◦ transfert

établir la cartographie du risque résiduel Conception du plan d’actions : objectifs claires et mesurables ◦ Rq : plus il est simple, plus il marcherait mieux.

responsabilités et moyens identifiés ◦ Rq : avant tout (càd les moyens de sécurités), la gestion des

risques est une mise en place d’une politique de démarches de contrôle.

Mise en oeuvre opérationnelle : conception et déploiement des solutions ◦ mode projet incluant les opérationnels ◦ mesure d’efficacité ◦ respect des moyens alloués

intégration dans les processus existant : Communication et formation :

diffuser les référentiels ◦ Rq : « comment on mesure et classer les risques ? »

intégrer la gestion du risque dans les objectifs individuels

Chiffrement ;

Signature numérique ;

Firewall ;

IDS ;

Serveurs proxy ;

Anti-Virus ;

…

Ensemble de règles spécifiant: ◦ Comment les ressources sont gérées afin de satisfaire

les exigences de la sécurité

◦ Quels sont les actions permises et les actions interdites

Objectif: Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc

Implémentation: Partiellement automatisée, mais toutes les personnes sont impliquées.

Domaine d’application: Elle doit fixer l’ensemble du personnel qui doit la respecter et l’appliquer

Domaine de responsabilité: administrateur système, …

Définit les règles pour : La gestion des mots de passe L’authentification des utilisateurs Le contrôle d’accès (réseau et système) L’architecture du réseau La sécurité du personnel (formation, …) La sécurité physique …

L’audit est l’examen d’une situation, d’un système d’informations, d’une organisation pour porter un jugement

C’est la comparaison entre ce qui est observé et ce que cela devrait être, selon un système de références.

l’audit informatique apporte :

◦ Un conseil en organisation fourni par des

spécialistes extérieurs

◦ Le moyen d’accompagner et de justifier la mise en

place de nouvelles structures ou de nouvelles méthodes

l’audit informatique concerne :

Les aspects stratégiques : conception et

planification de la mise en œuvre du système d’informations

L’environnement et l’organisation générale de la gestion de l’informatique

Les activités courantes de gestion de l’informatique

Les ressources informatiques mises en service

Les applications informatiques en service

La sécurité

Mission ◦ Évaluer

L’infrastructure informatique ;

Une application informatique ;

Un système ou une application informatique en cours e réalisation;

Livrable ◦ Rapport contenant les failles et les faiblesses

découvertes ;

◦ Mesures proposées pour réduire et contrôler les risques.

L’auditeur informatique peut disposer de deux types d’outils importants dans le cadre de son activité : ◦ Les méthodes d’analyse des risques informatiques

◦ Les progiciels d’audit

Test d’intrusion

Test d’intrusion, test de pénétration

Simulation d’attaque par des spécialistes de la sécurité informatique

Conditions réelles (attaquants), sauf traitement des données collectées (restituées au client)

Utilisation couplée de techniques automatiques et manuelles

Prise

d’informations

Cartographie du

réseau

Identification des

systèmes

Identification des

droits d’accès

Identification des

vulnérabilités

Recherche des

exploits

Exploitation des

vulnérabilités

Backdooring

des systèmes

Attaque du

réseau interne

Prise de

contrôle

du

réseau

Les phases d’un pentest sont identiques aux phases d’une intrusion

1 2 3 4

Passer outre les croyances : ◦ La bande passante est infinie

◦ Le réseau est sûr

◦ La topologie ne change pas

◦ Il n’y a qu’un administrateur

◦ Le réseau est homogène

◦ Il faut faire confiance au réseau

(d’après Peter Deutsch, Cisco Systems)

Met en évidence le risque que peut subir un S.I. vis-à-vis de toutes les menaces actuelles : ◦ Vers ◦ Virus ◦ Collaborateurs (inconscients ou malveillants) ◦ Anciens collaborateurs ◦ Hackers ◦ Pirates ◦ Script-kiddies ◦ Concurrents ◦ Partenaires ◦ …

Démonstratif (beaucoup plus qu’un audit technique !) ◦ Détails concrets (ex : emails interceptés…) ◦ Propice à la sensibilisation (favorise la hausse des

budgets sécurité !)

Rapide Peu coûteux si ciblé Peut permettre d’évaluer les capacités de

détection et de réactions des services informatiques concernés (réactions et au bout de combien de temps ?)

Sert à vérifier qu’un niveau de sécurité est atteint ou non, mais ne sert pas à le définir (manque d’exhaustivité du test)

À faire régulièrement À faire dans un but précis (verification d’une

politique) Un réseau ne cesse d’évoluer : ◦ Ajouts de services réseaux, machines ◦ Suppression de services, machines ◦ Utilisateurs modifient le réseau sans prévenir les

administrateurs

Selon le contexte et le périmètre : ◦ Attaques sociales (déclencher une action humaine

qui abaissera le niveau de sécurité)

◦ Attaques serveurs

◦ Attaques clientes

◦ Attaques réseau

◦ Dénis de service

◦ Réseaux auxiliaires (téléphone : PABX, Wi-Fi, tiers de confiances (partenaires B2B))

Internet

Une attaque réseau directe : le déni de service distribué (DDoS)

Computer malfunction

En accord avec le client : ◦ Attaques sociales (déclencher une action humaine

qui abaissera le niveau de sécurité) : e-mails, téléphone, IM

◦ Installation d’une backdoor/cheval de Troie -> prise de contrôle de l’extérieur (pièce jointe dans un mail, page web piégée)

Cibles en première ligne :

Serveur de nom

Serveur de courrier

Serveur web

Firewall

Collaborateurs !

Permettent de comprendre qu’est-ce qui pourrait se passer en cas de succès d’une intrusion externe

Ou ce qu’un collaborateur (employé lambda) ou ancien collaborateur pourrait faire depuis un poste de travail banal (2/3 des attaques)

Minimiser les tests dangereux (ceux qui engendrent des dénis de service notamment)

Tests en périodes creuses (midi & soir)

Étroite collaboration avec un responsable opérationnel tout au long de la procédure pour pouvoir réagir rapidement en cas de problème

Respect des règles d’éthique et déontologie

Procédures normées et reproductibles

Durée de l’intervention pas forcément proportionnelle à la taille du parc à auditer

Côter en fonction du nombre de profils différents de machines (environ 1 journée/profil + temps de rédaction du rapport)

Documents présentant : ◦ Plan du rapport d’audit

◦ Type d’audit

◦ Portée/Périmètre

◦ Types de tests autorisés

◦ Dates et horaires d’intervention

◦ Autorisations & décharge à signer par le client

◦ Résultats attendus

◦ Méthodes/outils utilisés

◦ CV des intervenants

Périmètre réseau à explorer (interne uniquement, externe aussi, prestataires autorisés…)

Types de tests autorisés (DoS) ?

Attaques par social engineering (téléphone, mail, fax, messagerie instantanée…) ?

Test démonstratif mais non exhaustif (préférer un audit technique)

Les résultats dépendent beaucoup du périmètre et des règles fixés

Sur chaque cible : ◦ Identification / prise d’informations

◦ Tentative d’attaque

◦ Analyse de la réponse

◦ Ajustement de l’attaque

→ Procédure Itérative

Plan d’adressage

Réseaux / sous-réseaux

OS et architectures

Services et version

Les adresses IP peuvent changer en cours d’audit si l’adressage est en DHCP (repérer les machines par adresse MAC ou fingerprinting système/applicatif)

!

Différents types : ◦ Prise d’info indirecte (pas d’interaction directe avec

la cible, furtif, moins précis)

◦ Prise d’info directe (interaction avec la cible)

Bases whois

Newsgroups

Moteur de recherche

Social engineering

Site officiel

Annuaires : Pages jaunes, societe.com, …

Scanners

Outils de fingerprinting

SNMP (communauté « public »)

Social engineering

Si une vulnérabilité permettant l’exécution de code est trouvée, utilisation de l’exploit adéquat

Cracking local / distant de mot de passe possible

L’accès est rarement administrateur du premier coup, il faut ensuite passer par une phase d’élévation de privilèges (exploitation d’une 2ème faille, dite faille locale)

Le but est de pouvoir revenir sur le système pendant l’audit même si les vulnérabilités originelles sont colmatées

Installation de backdoors (applicatif) ou rootkits (système)

→ Introduction d’une « faille » artificielle

Logs systèmes : ◦ /var/log ou syslog (Linux)

◦ Journal d’événements (Windows)

Logs applicatifs

Logs firewall

Logs IDS (évasion d’IDS utile)

Site web de l’entreprise !

Moteur de recherche web ou newsgroups (Google) avec : ◦ Nom de l’entreprise

◦ Nom de personnes

◦ Ou combinaison de termes de recherche (ex : nom équipement + nom de l’entreprise, « Routeur EDF »)

De nombreux administrateurs posent des questions techniques sur internet !

Manière facile et discrète pour trouver : ◦ Des noms/mails/logins d’employés

◦ Des équipements utilisés

◦ Des configurations déployées (même parfois des mots de passe…)

Exemple de message trouvé sur un newsgroup

Whois sur le domaine (http://onlinewhois.org/):

◦ Adresses physiques

◦ Noms de personnes

◦ Numéros de téléphone / fax

◦ E-mails

Informations très utiles pour les attaques par social engineering !

+ adresses des serveurs DNS (intéressant si non mutualisés)

domain: SYSDREAM.COM

owner-name: Sysdream

owner-address: 4 impasse de la gendarmerie

owner-address: 93400

owner-address: Saint ouen

owner-address: France

admin-c: PP1030-GANDI

tech-c: PP1030-GANDI

bill-c: PP1030-GANDI

nserver: a.dns.gandi.net 217.70.179.40

nserver: b.dns.gandi.net 217.70.184.40

nserver: c.dns.gandi.net 217.70.182.20

reg_created: 2003-09-16 11:52:59

expires: 2008-09-16 15:52:59

created: 2003-09-16 17:53:01

changed: 2007-07-24 17:12:00

person: paulo pinto

Nic-hdl: PP1030-GANDI

Address: Sysdrem

Address: 4 impasse de la gendarmerie

Address: 93400

Address: Saint ouen

Address: France

Phone: +33.140100541

E-mail: 3fb01259395e1c76d0a97bc08d1474cf-pp1030@contact.gandi.net

Lastupdated: 2007-01-02 22:35:20

Whois sur les IP trouvées:

◦ Plages d’adresses réservées

→ Plan d’adressage externe

◦ Prestataires d’hébergement

$ host www.edf.fr

www.edf.fr is an alias for clwwwlbn.edf.fr.

clwwwlbn.edf.fr has address 217.19.57.206

$ whois 217.19.57.206

inetnum: 217.19.57.192 – 217.19.57.255

netname: EDF

Transfert de zone : ◦ Principe : se faire passer pour un serveur DNS

secondaire du domaine et demander une copie des entrées au serveur DNS primaire

→ Récupération des noms & IP des serveurs

(plan d’adressage externe ou interne)

Transfert de zone : ◦ Après avoir trouvé le DNS primaire (whois), utiliser

nslookup (Windows) ou host (Linux) pour demander le transfert de zone sur une zone précise :

Nslookup

> server ns.domaine.com

> ls –d domaine.com

host –l domaine.com ns.domaine.com

Nmap (fingerprinting actif) : ◦ Fingerprinting système :

Nmap –O 192.168.0.1

◦ Fingerprinting applicatif (grab de bannières) & système :

Nmap –A 192.168.0.1

Xprobe2 (fingerprinting actif) : ◦ Bien plus précis que nmap mais nécessite la

connaissance (???) d’un port ouvert et d’un port fermé

◦ Xprobe2 –p tcp:80:open –p tcp:81:closed 192.168.0.1

P0f (fingerprinting passif) :

◦ Fingerprinting des clients :

p0f

◦ Fingerprinting des serveurs :

P0f -A

#p0f –A

p0f: listening (SYN+ACK) on ‘eth0’, 57 sigs (1 generic), rule: ‘all’.

212.27.33.225:80 – Linux recent 2.4 (1) (up: 600 hrs)

-> 192.168.0.4:34488 (distance 14, link: ethernet/modem)

SNMP : ◦ Solarwinds SNMP

Winfingerprint : ◦ Informations & partages Netbios (notamment Null

Sessions)

thcrut (découverte réseau)

Nmap (scan de port horizontal et vertical, idle host scan)

Traceroute Sniffeurs : ◦ tcpdump ◦ wireshark/ethereal ◦ dsniff ◦ Cain

Forgeur de paquets / Fuzzing : ◦ Packet Excalibur ◦ scapy ◦ nemesis ◦ hping

DOS ◦ arp -sk

Redirection de trafic : ◦ ARP : arpspoof/ettercap ◦ DNS : denver

MITM ◦ ssharp ◦ Achille

Tunneling icmptunnel httptunnel

Dump de passwords ◦ Pwdump/samdump/bkhive

Crackeurs de passwords ◦ Ophcrack / LC5

◦ Pwl Tools

◦ John the ripper

◦ brutus

Keyloggers ◦ Invisible Keylogger

IntelliTamper

Nikto

Whisker

N-stealth

Wapiti

Acunetix Web Vulnerability Scanner

Internet

Principe d’une attaque par mail pour entrer et ressortir de l’entreprise

Chevaux de Troie : ◦ Netbus

◦ MoSucker

◦ JAB (Just Another Backdoor)

Rootkits : ◦ Adore

◦ Hxdef

Très grand nombre de scanners automatiques plus ou moins spécifiques : ◦ Nessus

◦ Core Impact

◦ ISS Internet Scanner

◦ Eeye Retina

◦ Qualys

◦ …

Nessus

ISS Internet Scanner

Core Impact

Eeye Retina

Avantages : ◦ Entièrement automatiques :

Quasiment aucune intervention humaine

(installation, configuration & génération de rapports aisées)

◦ Détectent :

Les vieilles versions des services

Les défauts flagrants de configuration

Les mots de passe par défaut utilisés

Les protocoles non chiffrés

Inconvénients : ◦ Ne détectent que 25% des vulnérabilités effectives

(vulnérabilités applicatives mal détectées)

◦ Nombreux faux positifs (> 30%)

◦ Dangereux en détection de DoS

◦ Nécessitent le déploiement de plusieurs sondes sur des réseaux très segmentés / firewallés

Conclusion : ◦ Utiles pour le « débroussaillage » mais très loin

d’être suffisants

Metasploit

Canvas

Core impact

inlineEgg / ShellForge

(création de shellcodes)

Milw0rm.com

www.astalavista.com

packetstormsecurity.org

www.securityfocus.com

Niveau de risque ou niveau de sécurité fonction de : ◦ Impact

◦ Potentialité

◦ criticité

Dans les faits, impact et criticité sont à rapprocher

L’impact d’une vulnérabilité se mesure habituellement (méthode C.I.A) en termes de : ◦ Confidentialité

◦ Intégrité

◦ Disponibilité

Exemples : ◦ Déni de service : D

◦ Faille XSS : C+I

◦ Buffer overflow : C+I+D

Potentialité : ◦ Probabilité d’une exploitation de la vulnérabilité

◦ Dépend des sources de menaces et du niveau d’accessibilité de la vulnérabilité

Pour chaque vulnérabilité, évaluer sa criticité :

Critique

Important

Moyen

Mineur

Problème critique permettant de rapidement prendre le contrôle du système.

Problème pouvant être la cause d’une intrusion, mais difficilement exploitable.

Problème pouvant être indirectement la source d’une intrusion.

Problème sans conséquence directe pour la sécurité du système mais pouvant fournir des informations techniques.

Niveau 1

Niveau 2

Niveau 3

Niveau 4

Résumé au niveau système du niveau de sécurité, en fonction de : ◦ La criticité des

vulnérabilité

◦ L’accessibilité des vulnérabilités

◦ Le niveau de menace sur l’environnement du système

Aucun.

Faible.

Moyen.

Bon.

Au moins 6 parties à développer :

◦ Objectifs de l’audit

◦ Guide opérationnel

◦ Synthèse générale

◦ Analyse globale

◦ Analyse des vulnérabilités

◦ Recommandations

1. Objectifs de l’audit :

◦ Contexte de l’audit

◦ But de l’audit

◦ Type de pentest : interne/externe

◦ Expliciter le niveau de sécurité attendu ou la politique de sécurité à vérifier

2. Guide opérationnel : ◦ « Guide de lecture » du rapport

Expliquer le plan du rapport, à quel lectorat sont destinées les différentes parties

Détailler les abréviations, le vocabulaire spécifique employé, les niveaux de criticité/risque utilisés

◦ Rappeler le périmètre (au sens large) de l’audit

3. Synthèse générale : ◦ Synthèse non technique comprenant :

Les points forts

Les points à améliorer

L’analyse générale du niveau de sécurité

Une conclusion générale

→ Partie à destination des décideurs !

F…

Applicati

on

SystèmeWeb

Réseaux

Niveau de sécurité global : ◦ Catégorisation des

niveaux de sécurité

◦ Critères évalués entre 0 (sécurité nulle) et 5 (bonne sécurité)

4. Analyse globale : ◦ Informations réseaux générales (liste des réseaux,

plans d’adressage, niveau de sécurité agrégé par plage), schémas réseaux

◦ Énumération des systèmes détectés (détails (marque, modèle, OS, …) + niveau de sécurité agrégé par système)

◦ Énumération des services par systèmes (description et criticité des vulnérabilités)

◦ Séparer clients/serveurs/équipements réseaux

5. Analyse des vulnérabilités : ◦ Fuite d’informations publiques & techniques

◦ Vulnérabilités listées exhaustivement et détaillées techniquement (références CVE si possible)

◦ Méthodologie d’exploitation

◦ Recommandations :

Mise à jour

Patch

Changement de configuration

Règles réseaux

…

6. Recommandations : ◦ Recommandations génériques et générales

◦ Listing des correctifs importants

(20% des vulnérabilités induisent beaucoup plus de 80% du risque)

Rapport très technique mais fournir un second rapport ou chapitre pour les décideurs (par exemple sous forme de tableau de bord)

Comparer le niveau de sécurité attendu (politique sécurité + sécurité liée à l’activité) à la sécurité constatée et en discuter avec le commanditaire de l’audit

Les qualités d’un rapport réussi :

◦ Clair

◦ Accessible

◦ Démonstratif

◦ didactique

Recommandations : ◦ Si possible donner des indications de coûts ou de

moyens à mettre en œuvre pour les appliquer

◦ Leur donner des priorités, puis les ordonner (la sécurité n’est qu’une question de compromis budgétaire)

Mitigation : ◦ Correction des vulnérabilités (application des

recommandations importantes)

Second audit après mitigation

ou

contre-audit après un autre prestataire