Panorama des incidents 2014 - Délégation Paris B · nominatives (cursus d'étudiants, dossiers de...
-
Upload
duongnguyet -
Category
Documents
-
view
213 -
download
0
Transcript of Panorama des incidents 2014 - Délégation Paris B · nominatives (cursus d'étudiants, dossiers de...
Panorama des incidents 2014
J.Beigbeder, Service de Prestations Informatiques ENSP.Vincens, Département de biologie ENSResponsables Sécurité des Systèmes d'Information ENS
J. Beigbeder, P. Vincens Panorama des incidents 2014
Le CERT. . .
Plus de 7000 alertes envoyées en 2013 concernant plus de4500 adresses IP uniques
Plus de 4000 sur les 9 premiers mois de 2014 !
Une grande diversité d'incidents. . .
Des motivations variées :
lucratives, idéologiques, ludiques, pathologiques,. . .
J. Beigbeder, P. Vincens Panorama des incidents 2014
Les grandes menaces
(source CERT-Renater Michèle Danho)
Espionnage, captation illicite d'informationsCybercriminels à motivation �nancière
Recruter des zombies et faire grandir son arméeVoler des données monnayablesMener des campagnes de spamPrendre en otage ressources et données (demandes de rançon)
Hacktivism (actes politiques)Dé�gurations (actes politiques, récréatifs)Attaques en saturation de services ou de réseaux
Cyberguerre
Malveillance ou actes récréatifs
Violation de droits d'auteurs
J. Beigbeder, P. Vincens Panorama des incidents 2014
Vols de machines. . .
Postes �xes (souvent non attachés, locaux mal protégés)
Postes nomades (dans les transports, les cinémas, les cafés,. . . )
Les impacts :
perte de temps (administration, réappropration d'un systèmefonctionnel,...)
perte �nancière du matériel (assurance ?)
perte des données (sauvegarde !)
exploitation des données à �ns malveillantes (chi�rement,machine éteinte !).
J. Beigbeder, P. Vincens Panorama des incidents 2014
Lors de la discussion avec la victime. . .
Les personnes n'ont jamais rien de secret mais on trouve :
mots de passe enregistrés
données personnelles : papiers d'identité, RIB, photos, . . .
données professionnelles :
con�dentiellesnominatives (cursus d'étudiants, dossiers de carrière, dossiersde concours et CV, . . . )sujets d'examen, . . .
À faire :
dépôt de plainte par le propriétaire de la machine,
information des tutelles.
Cela doit être signalé, les conséquences sont sous-évaluées !
J. Beigbeder, P. Vincens Panorama des incidents 2014
Cas d'un vol avec exploitation
Un smartphone personnel volé dans un cinéma.Trois semaines après :
des connexions depuis l'étranger
destruction partielle de dossiers de courriels (Ouf ! sauvegardés)
D'où l'importance de changer très rapidement les mots de passe.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Le cloud change les usages mais pas les risques
Oubli du mot de passe ! Comment faire vis à vis d'un servicegrand public ?
Accès au contenu après vol des identi�ants ou intrusion !
J. Beigbeder, P. Vincens Panorama des incidents 2014
Perte ou destruction de support
Cela arrive régulièrement : clés USB, disque externe, DVD, . . .
Parade : chi�rement, sauvegarde, être attentif.
"Et ma clé USB ? C'est ma méthode de nomadisme, j'ai tout
dedans, et rien ailleurs"
J. Beigbeder, P. Vincens Panorama des incidents 2014
Les vols de mots de passe
Des identi�ants de connexion, cela est utile et a été utilisé pour :
pour envoyer des spams
pour installer des services (web ou autres)
pour accéder à des ressources (espace de données, calcul,. . . )
pour accéder à des informations (revues scienti�ques,. . . )
. . .
Tout cela se négocie... dans le darknet ou ailleurs.Des identi�ants de connexion, cela se vend, s'achète...Voler des identi�ants, c'est motivant !
J. Beigbeder, P. Vincens Panorama des incidents 2014
Les modes opératoires rencontrés
le phishing,
l'usage d'un mot de passe identique sur de nombreux services,
le piégeage par des keyloggers dans des machines infectées oudans des cybercafés,
le vols de �chiers password (ou équivalent) suite à unepremière intrusion,
la négligence de l'utilisateur.
On a constaté :Le compte d'un utilisateur comportait un dossier de courriels appelé"Mots de passe" intégrant la collection complète de ses mots depasse.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Un vol atypique
Un compte Gmail où les propriétaires légitimes ont perdu l'accèscomplet, à savoir :� le mot de passe� le téléphone de secours� l'adresse mail de secours
Le contenu du compte a ainsi été perdu.
Et il n'est pas si simple de faire valoir ses droits devant Google !
J. Beigbeder, P. Vincens Panorama des incidents 2014
Le phishing
Une large variété de thèmes :
Les phishings grand public : EDF, CAF, . . .
Les phishings ciblés établissements : votre quota de mail...
Les phishings (et virus) très ciblés.
On sensibilise mais il y a des bonnes raisons de répondre :
le courriel en mauvais français n'est pas détecté ainsi par desétrangers
le courriel est de plus en plus crédible !
le courriel est déstabilissant (angoisse d'une commande passéeà son insu) !
J. Beigbeder, P. Vincens Panorama des incidents 2014
Un phishing redoutable
Le phishing redirige sur une copie du CAS de l'institution
→ l'utilisateur en con�ance sur une page connue rentre login etmot de passe !
Aussi :Le nom du site est voisin du vrai nom (CNRS devient CRNS,UPMC devient UMPC par exemple)
J. Beigbeder, P. Vincens Panorama des incidents 2014
Les envois de spams
Les cas rencontrés se sont majoritairement produits suite à un vold'identi�ant.
Les spams envoyés l'ont été avec l'identité de la victime ou avecd'autres identités (peu, beaucoup)Les attaquants ont utilisé :
le webmail
des connexions SMTP-authenti�és (TCP 465 ou 587),
depuis une seule IPdepuis un botnet
À noter, dans un cas, la très faible volumétrie (< 200) de messagesenvoyés à chaque passage.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Intrusions Web et défaçages
On a retrouvé :
Ajout de pages publicitaire (Viagra,...), de soutien à desgroupes,...
Insertion de contenu destiné à piéger les visiteurs (virus,...)
Installation d'outils pour contrôler le serveur (C99madshell,...)
→ dégâts en terme d'image des institutions, engagement deresponsabilités,....
J. Beigbeder, P. Vincens Panorama des incidents 2014
Intrusions Web et défaçages
Comme ont-elles été détectées ?
alertes du CERT-Renater
outils de recherche de contenu anormal 1
outils de métrologie (trace réseaux)
signalement par des utilisateurs
1. De bonnes requêtes sur un moteur de recherche peuvent aider à trouver(ex de recherche sur Google : "site :ens.fr viagra").
J. Beigbeder, P. Vincens Panorama des incidents 2014
Intrusions Web et défaçages
Comment s'est produite l'intrusion ?
défaut de mise à jour des applicatifs.
mots de passe par défaut non changés (serveurs de testsoubliés,...)
défaut de protection des accès (/ecrire de SPIP,phpMyAdmin,... accessibles au monde entier !)
des injections (SQL ou autres) dans des formulaires, blogs,forum,. . .
J. Beigbeder, P. Vincens Panorama des incidents 2014
À signaler !
Exemple : un cas de serveur piraté 3 fois en 2 mois !
Mauvais ré�exe de sous-traitant : "Je nettoie, je remets en ligne,
vite"
J. Beigbeder, P. Vincens Panorama des incidents 2014
Faille Heartbleed pour OpenSSL
Du temps passé pour les mises à jour et le remplacement descerti�cats !
J. Beigbeder, P. Vincens Panorama des incidents 2014
Faille shellshock (bash)
Deuxième grande faille de l'année
Là aussi du travail...
J. Beigbeder, P. Vincens Panorama des incidents 2014
Intrusions SSH
Souvent détectés par les traces réseaux (CERT et/ou en interne) :
mots de passe faibles ou par défaut
par transitivité depuis des machines piratées
Associé à un exploit local avec une escalade de privilèges :
installer une version pirate de ssh/sshd/ssh-add,
plus généralement, installer un rootkit.
Dégâts possibles : rebond, vol de données.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Dont un cas atypique :
Logiciel métier avec tous les comptes accessiblesen SSH avec des mots de passe triviaux (=logins).Sachant que la sécurité devait être assurée par le shell de login quia�che des écrans de re-logins.
Le défaut : Control-C entre le login et les programmes de re-logins.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Une autre intrusion atypique
exim, pas à jour, lançait des commandes shell sur réception demails avec entêtes particuliers permettant une élévation deprivilèges jusque root.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Dénis de service
Selon le CERT, cela a explosé en 2014.
Début 2014 : ampli�cation de tra�c via NTP. Ceci a concerné :� des machines, simples à corriger� des imprimantes, mises à jour ?� des interfaces IPMI, mises à jour ?� des NAS clés en main (Synology)� des sondes, mises à jour ?
L'ampli�cation peut arriver sur d'autres services : DNS notamment.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Virus
Plusieurs cas, souvent détectés par le CERT-Renater via des tracesréseaux.
Attention, il en existe de plus en plus sur Mac !
La mode 2014 : les virus cryptolockers.
Hélas, depuis quelques années on entend :"ce n'est pas grave, c'est comme cela sur Internet".
J. Beigbeder, P. Vincens Panorama des incidents 2014
Un cas récent
Virus reçu par mail ciblé : fausse facture envoyée à une gestionnaireCNRS :
les antivirus n'ont rien détecté le jour de réception
3 semaines après, 3 antivirus (Kaspersky, ClamAV, TrendMicro) ne trouvent toujours rien
on a vu des connexions SMTPS sortantes
le CERT a signalé des traces de Zeus associé à cette IP !
L'objectif probable : vol de coordonnées bancaires.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Piratage de logiciel
Installation de logiciels piratés...En prime, avec des virus...
J. Beigbeder, P. Vincens Panorama des incidents 2014
Violation des droits d'auteur
Mise en ligne de contenu protégé par le droit d'auteurdont revues scienti�ques
Téléchargements illégaux (notamment en P2P)
J. Beigbeder, P. Vincens Panorama des incidents 2014
Délinquances sociales...
délation/di�amation sur des blogs
envoi massif de mails à des collègues
et aussi
usurpation d'identité
Cela peut être de l'amusement (blague),mais cela peut être grave (poursuites pénales).
Un exemple : vol de sujet d'examen par phishing depuis une adressemail vraisemblable.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Ingénierie sociale
Appel téléphonique d'un employé Microsoft pour aider à enlever desvirus : il propose d'installer un outil de nettoyage.
Appels à l'aide ciblés.
Attention aux caméras et micros !Avec l'aide de Skype, �lmer à domicile puis faire du chantage.
Des virus aussi peuvent contrôler à distance la caméra.
J. Beigbeder, P. Vincens Panorama des incidents 2014
Aspects CNIL
Détectés par signalement :des plaintes de personnes qui se cherchent et se trouvent surGoogle : numéro de téléphone personnel, petite annonce, article.
� des annuaires ou des listes mises en ligne sans précaution� des annonces (stages) mis en ligne (pour la bonne cause)
J. Beigbeder, P. Vincens Panorama des incidents 2014
Et encore. . .
Minage de *coins sur des machines professionnellesImpressions pirates
�Vol de données scienti�ques
J. Beigbeder, P. Vincens Panorama des incidents 2014
Quand la justice nous sollicite
Rappel : loi du 21 juin 2004 et décret du 2011-219 du 25 février2011 : on doit savoir remonter à un identi�ant depuis une IP.
Attention donc au prêt de comptes Wi�, au NAT, aux postes enlibre-service (bibliothèque), . . .
J. Beigbeder, P. Vincens Panorama des incidents 2014