Panorama des incidents 2014 - Délégation Paris B · nominatives (cursus d'étudiants, dossiers de...

Panorama des incidents 2014

J.Beigbeder, Service de Prestations Informatiques ENSP.Vincens, Département de biologie ENSResponsables Sécurité des Systèmes d'Information ENS

J. Beigbeder, P. Vincens Panorama des incidents 2014

Le CERT. . .

Plus de 7000 alertes envoyées en 2013 concernant plus de4500 adresses IP uniques

Plus de 4000 sur les 9 premiers mois de 2014 !

Une grande diversité d'incidents. . .

Des motivations variées :

lucratives, idéologiques, ludiques, pathologiques,. . .


Les grandes menaces

(source CERT-Renater Michèle Danho)

Espionnage, captation illicite d'informationsCybercriminels à motivation �nancière

Recruter des zombies et faire grandir son arméeVoler des données monnayablesMener des campagnes de spamPrendre en otage ressources et données (demandes de rançon)

Hacktivism (actes politiques)Dé�gurations (actes politiques, récréatifs)Attaques en saturation de services ou de réseaux

Cyberguerre

Malveillance ou actes récréatifs

Violation de droits d'auteurs


Qu'en est-il dans notre environnement ?


Vols de machines. . .

Postes �xes (souvent non attachés, locaux mal protégés)

Postes nomades (dans les transports, les cinémas, les cafés,. . . )

Les impacts :

perte de temps (administration, réappropration d'un systèmefonctionnel,...)

perte �nancière du matériel (assurance ?)

perte des données (sauvegarde !)

exploitation des données à �ns malveillantes (chi�rement,machine éteinte !).


Lors de la discussion avec la victime. . .

Les personnes n'ont jamais rien de secret mais on trouve :

mots de passe enregistrés

données personnelles : papiers d'identité, RIB, photos, . . .

données professionnelles :

con�dentiellesnominatives (cursus d'étudiants, dossiers de carrière, dossiersde concours et CV, . . . )sujets d'examen, . . .

À faire :

dépôt de plainte par le propriétaire de la machine,

information des tutelles.

Cela doit être signalé, les conséquences sont sous-évaluées !


Cas d'un vol avec exploitation

Un smartphone personnel volé dans un cinéma.Trois semaines après :

des connexions depuis l'étranger

destruction partielle de dossiers de courriels (Ouf ! sauvegardés)

D'où l'importance de changer très rapidement les mots de passe.


Le cloud change les usages mais pas les risques

Oubli du mot de passe ! Comment faire vis à vis d'un servicegrand public ?

Accès au contenu après vol des identi�ants ou intrusion !


Perte ou destruction de support

Cela arrive régulièrement : clés USB, disque externe, DVD, . . .

Parade : chi�rement, sauvegarde, être attentif.

"Et ma clé USB ? C'est ma méthode de nomadisme, j'ai tout

dedans, et rien ailleurs"


Les vols de mots de passe

Des identi�ants de connexion, cela est utile et a été utilisé pour :

pour envoyer des spams

pour installer des services (web ou autres)

pour accéder à des ressources (espace de données, calcul,. . . )

pour accéder à des informations (revues scienti�ques,. . . )

. . .

Tout cela se négocie... dans le darknet ou ailleurs.Des identi�ants de connexion, cela se vend, s'achète...Voler des identi�ants, c'est motivant !


Les modes opératoires rencontrés

le phishing,

l'usage d'un mot de passe identique sur de nombreux services,

le piégeage par des keyloggers dans des machines infectées oudans des cybercafés,

le vols de �chiers password (ou équivalent) suite à unepremière intrusion,

la négligence de l'utilisateur.

On a constaté :Le compte d'un utilisateur comportait un dossier de courriels appelé"Mots de passe" intégrant la collection complète de ses mots depasse.


Un vol atypique

Un compte Gmail où les propriétaires légitimes ont perdu l'accèscomplet, à savoir :� le mot de passe� le téléphone de secours� l'adresse mail de secours

Le contenu du compte a ainsi été perdu.

Et il n'est pas si simple de faire valoir ses droits devant Google !


Le phishing

Une large variété de thèmes :

Les phishings grand public : EDF, CAF, . . .

Les phishings ciblés établissements : votre quota de mail...

Les phishings (et virus) très ciblés.

On sensibilise mais il y a des bonnes raisons de répondre :

le courriel en mauvais français n'est pas détecté ainsi par desétrangers

le courriel est de plus en plus crédible !

le courriel est déstabilissant (angoisse d'une commande passéeà son insu) !


Un phishing redoutable

Le phishing redirige sur une copie du CAS de l'institution

→ l'utilisateur en con�ance sur une page connue rentre login etmot de passe !

Aussi :Le nom du site est voisin du vrai nom (CNRS devient CRNS,UPMC devient UMPC par exemple)


Les envois de spams

Les cas rencontrés se sont majoritairement produits suite à un vold'identi�ant.

Les spams envoyés l'ont été avec l'identité de la victime ou avecd'autres identités (peu, beaucoup)Les attaquants ont utilisé :

le webmail

des connexions SMTP-authenti�és (TCP 465 ou 587),

depuis une seule IPdepuis un botnet

À noter, dans un cas, la très faible volumétrie (< 200) de messagesenvoyés à chaque passage.


Intrusions Web et défaçages

On a retrouvé :

Ajout de pages publicitaire (Viagra,...), de soutien à desgroupes,...

Insertion de contenu destiné à piéger les visiteurs (virus,...)

Installation d'outils pour contrôler le serveur (C99madshell,...)

→ dégâts en terme d'image des institutions, engagement deresponsabilités,....



Comme ont-elles été détectées ?

alertes du CERT-Renater

outils de recherche de contenu anormal 1

outils de métrologie (trace réseaux)

signalement par des utilisateurs

1. De bonnes requêtes sur un moteur de recherche peuvent aider à trouver(ex de recherche sur Google : "site :ens.fr viagra").



Comment s'est produite l'intrusion ?

défaut de mise à jour des applicatifs.

mots de passe par défaut non changés (serveurs de testsoubliés,...)

défaut de protection des accès (/ecrire de SPIP,phpMyAdmin,... accessibles au monde entier !)

des injections (SQL ou autres) dans des formulaires, blogs,forum,. . .


À signaler !

Exemple : un cas de serveur piraté 3 fois en 2 mois !

Mauvais ré�exe de sous-traitant : "Je nettoie, je remets en ligne,

vite"


Faille Heartbleed pour OpenSSL

Du temps passé pour les mises à jour et le remplacement descerti�cats !


Faille shellshock (bash)

Deuxième grande faille de l'année

Là aussi du travail...


Intrusions SSH

Souvent détectés par les traces réseaux (CERT et/ou en interne) :

mots de passe faibles ou par défaut

par transitivité depuis des machines piratées

Associé à un exploit local avec une escalade de privilèges :

installer une version pirate de ssh/sshd/ssh-add,

plus généralement, installer un rootkit.

Dégâts possibles : rebond, vol de données.


Dont un cas atypique :

Logiciel métier avec tous les comptes accessiblesen SSH avec des mots de passe triviaux (=logins).Sachant que la sécurité devait être assurée par le shell de login quia�che des écrans de re-logins.

Le défaut : Control-C entre le login et les programmes de re-logins.


Une autre intrusion atypique

exim, pas à jour, lançait des commandes shell sur réception demails avec entêtes particuliers permettant une élévation deprivilèges jusque root.


Dénis de service

Selon le CERT, cela a explosé en 2014.

Début 2014 : ampli�cation de tra�c via NTP. Ceci a concerné :� des machines, simples à corriger� des imprimantes, mises à jour ?� des interfaces IPMI, mises à jour ?� des NAS clés en main (Synology)� des sondes, mises à jour ?

L'ampli�cation peut arriver sur d'autres services : DNS notamment.


Virus

Plusieurs cas, souvent détectés par le CERT-Renater via des tracesréseaux.

Attention, il en existe de plus en plus sur Mac !

La mode 2014 : les virus cryptolockers.

Hélas, depuis quelques années on entend :"ce n'est pas grave, c'est comme cela sur Internet".


Un cas récent

Virus reçu par mail ciblé : fausse facture envoyée à une gestionnaireCNRS :

les antivirus n'ont rien détecté le jour de réception

3 semaines après, 3 antivirus (Kaspersky, ClamAV, TrendMicro) ne trouvent toujours rien

on a vu des connexions SMTPS sortantes

le CERT a signalé des traces de Zeus associé à cette IP !

L'objectif probable : vol de coordonnées bancaires.


Piratage de logiciel

Installation de logiciels piratés...En prime, avec des virus...


Violation des droits d'auteur

Mise en ligne de contenu protégé par le droit d'auteurdont revues scienti�ques

Téléchargements illégaux (notamment en P2P)


Délinquances sociales...

délation/di�amation sur des blogs

envoi massif de mails à des collègues

et aussi

usurpation d'identité

Cela peut être de l'amusement (blague),mais cela peut être grave (poursuites pénales).

Un exemple : vol de sujet d'examen par phishing depuis une adressemail vraisemblable.


Ingénierie sociale

Appel téléphonique d'un employé Microsoft pour aider à enlever desvirus : il propose d'installer un outil de nettoyage.

Appels à l'aide ciblés.

Attention aux caméras et micros !Avec l'aide de Skype, �lmer à domicile puis faire du chantage.

Des virus aussi peuvent contrôler à distance la caméra.


Aspects CNIL

Détectés par signalement :des plaintes de personnes qui se cherchent et se trouvent surGoogle : numéro de téléphone personnel, petite annonce, article.

� des annuaires ou des listes mises en ligne sans précaution� des annonces (stages) mis en ligne (pour la bonne cause)


Et encore. . .

Minage de *coins sur des machines professionnellesImpressions pirates

�Vol de données scienti�ques


Quand la justice nous sollicite

Rappel : loi du 21 juin 2004 et décret du 2011-219 du 25 février2011 : on doit savoir remonter à un identi�ant depuis une IP.

Attention donc au prêt de comptes Wi�, au NAT, aux postes enlibre-service (bibliothèque), . . .


Panorama des incidents 2014 - Délégation Paris B · nominatives (cursus d'étudiants, dossiers de...

Documents

Transcript of Panorama des incidents 2014 - Délégation Paris B · nominatives (cursus d'étudiants, dossiers de...