Partie II Cours 1 : Menaces et attaquesodile.papini.perso.luminy.univ-amu.fr/sources/... ·...

IntroductionPanorama des menacesPanorama des attaques

Legislation

Partie II Cours 1 : Menaces et attaques

Odile PAPINI

ESILUniversite de la [email protected]

http://odile.papini.perso.esil.univmed.fr/sources/SSI.html

Odile PAPINI Securite des Systemes d’Information


Legislation

Plan du cours

1 Introduction

2 Panorama des menaces

3 Panorama des attaques

4 Legislation



Legislation

Intoduction

Que proteger ?

De quoi les proteger ?

Quels sont les risques ?

l’entreprise ?

Liste des menaces

DEMARCHE NORME ISO 17799

Liste des biens a proteger

Liste des impacts et probabilites

Liste des contre-mesuresComment proteger



Legislation

Panorama des menaces

Les menaces :

accidents

erreurs

malveillance

typologie des incidents norme ISO 17799



Legislation


pertes de services essentielspannes d’origine interne

accidents evenements naturelsaccidents physiques

erreurs de conceptionerreurs erreurs d’utilisation

vols ou disparitionsinfection par virus

divulgationsattaques logiques

actes de denigrement ou atteinte a l’imagemalveillance sabotages physiques

intrusions sur les SIfraudes informatiques

chantage, extorsion informatiqueintrusions, acces par un dispositif sans fil



Legislation


Accidents

incendie, explosion, implosion

degat des eaux

probleme d’integrite du batiment

catastrophes naturelles

pannes

internes (composant)logiciel de baseexternes (ex : climatisation, alimentation, · · · )

arret de services (EDF, Telecommunications, eau, · · · )

choc, collision, chute, pollution, rayonnement, · · ·



Legislation


Erreurs

erreurs de saisie, de transmission de donnees

erreurs d’exploitation

erreurs de conception dans la realisation ou la mise en oeuvredes :

logicielsprocedures

disponibilite des personnes

· · ·



Legislation


Malveillances

ce que l’on voit

ce que l’on connaıt

ce que l’on ne connaıt pas

ce que l’on ne peut pas imaginer

la malveillance n’est pas toujours visible

il est toujours possible de destabiliser un site :

refus de service

inondation : saturation par envoi de courrier electronique

blocage de compte par tentatives repeteees de connexioninfructueuse



Legislation


Malveillances (suite)

fraude, sabotagedetournement a son avantage (versement, chantage, extorsion,· · · )sabotage immateriel (destruction dans le seul but de nuire)denis de service

indiscretion ou ecoute de lignedetournementcopie de messageespionnage

actions indesirablesspams ou inondationstockage ”pirate”



Legislation



actions + ou - mal intentionnees

curiosite, jeu, · · · )decodeur canal+craquage de codes (cartes credits, · · · )

piratage de logiciel

craquage de securitecopie illicitegravage

menaces dues aux telecommunications



Legislation



Menaces dues aux telecommunications

interruptions de service ou disfonctionnement

alteration des donnees transmises

usurpation d’identitee

divulgation d’informations a un tiers

action malveillante transmise



Legislation


Problemes de l’imputabilite, de la repudiation, de laresponsabilite

lorsqu’un probleme intervient, comment prouver :

que cela a ete envoye ?qui l’a envoye ?qu’il a ete recu ?par qui ? et par qui d’autres ?qui a fait l’erreur ?qui est proprietaire du support de communication ?qui peut en etre garant ?

questions fondamentales lors d’un litige



Legislation


Problemes de l’imputabilite, de la repudiation, de laresponsabilite

elements de reponses :

identification(identifiant ↔ entite)

autentification(garantir l’identifiant)

chiffrement

le scellement informatique

accuse de reception

tunnel de donnees

· · ·



Legislation


Desinformation, propagande, destabilisation, credulite

falsification des sons, des images, des videos

veracite de l’information

d’ou vient l’information ?qui l’a fournie ?apres ”vu a la tele”, ”vu sur internet” ?

Quelles consequences ?



Legislation


Evolution des menacesquelques chiffres (sources CLUSIF)

accidents 24% :en baisse (effets materiels palpables)

erreurs 14% :en forte baisse (amelioration de la qualite des logiciels)

malveillance 62% :en forte hausse (en progression constante)



Legislation


Evolution des menaces aspect politico-economique

jusqu’a la fin des annees 1980 : contexte de guerre froide

aspect militaire de la securite : regles du jeu claires :

qui menace ?que proteger ? : les informations sensiblescomment les proteger ?

aujourd’hui : contexte de guerre economique

menaces tout azimut :

qui : le concurrent, le terroriste, · · ·quoi : toutes les informations de l’entreprisecomment : les reseaux, les intervenants exterieurs, les virus, · · ·



Legislation

Panorama des attaques

programmes malveillants

programmes qui exploitent les vulnerabilites du Systeme

appeles “malware”

fragments de programmes necissant un programme hote(virus, bombe logique, porte derobee)programmes autonomes independants (vers, robot)peuvent se repliquer ou non

menaces sophistiquees sur les systemes informatiques



Legislation


attaques virales

attaques techniques

attaques classiques



Legislation


attaques virales : Porte derobee (backdoor)

Fonction d’un programme non autorisee et qui ne participe en rienaux objectifs officiels d’un programme

a priori malveillante

d’aucune utilite autre que pour son concepteur

s’execute a l’insu de l’utilisateur

exemples : SGBD Interbase 2001, Linux 2003



Legislation


attaques virales : Porte derobee (backdoor)

exemples

SGBD Interbase 2001

nom d’utilisateur : politically, mot de passe : correct

Linux 2003

2 lignes de C dans la fonction sys-wait4

if ((options == ( WCLON | WALL)) && (current->uid = 0))

retval = -EINVAL ;



Legislation


attaques virales : Cheval de Troie (Tojan)

Programme, jeu, commande ayant une fonction annoncee et enrealisant une autre (illicite)

attaque classique

s’execute a l’insu de l’utilisateur

exemple 2005 : cheval de troie envoye par email ou integre a unCD contenant une fausse proposition commerciale.Une fois installee et contre 3000 euros, le concepteur fournissait ason client une adresse IP, un nom d’utilisateur et un mot de passepour acceder au PC de sa victime



Legislation


attaques virales : Cheval de Troie

exemples

Back Orifice : logiciel d’administration et de prise de controlea distance de machines utilisant Windows

Subseven : l’un des chevaux de troie les plus connus, en 2000il a intoduit :

surveillance par camera (Webcam capture)surveillance en temp reel du bureau Windows (DesktopCapture)le vol de mots de passe (Recorded Password) par lequelsubseven detecte les ecrans de demande de mot de passe(Windows, Internet · · · )permet la capture-clavier (Keylogger) pour recuperer lesnumeros de cartes de credits

autres chevaux de Troie : ByteVerify, XXXDial, · · ·Odile PAPINI Securite des Systemes d’Information


Legislation


attaques virales : Bombe logique

Action malveillante generalement differee

chantage

racket



Legislation


attaques virales : Virus

programme illicite qui s’insere dans des programes legitimesappeles hotes

se reproduit automatiquement, se transmet, peut avoir desactions retardees

se repand au travers d’internet, de disquettes, de cles USB

analogie avec la biologie : contagion

virus systeme, virus resident en memoire,

virus programme, virus macro,

virus polymorhe ou mutant, virus de scripts



Legislation


attaques virales : Virus

exemple

Tchernobyl ou CIH

Yamanner

Cabir

...



Legislation


Structure d’un virus

composants :

mecanisme d’infection : permet la replicationdeclenchement : evenement qui rend la charge activecharge du virus : ce qu’il fait, action maveillante ou benine

ajout au debut a fin au milieu d’un programme executable

blocage de l’infection initiale (difficile)

blocage de la propagation (controle d’acces)



Legislation

Structure d’un virus : exemple (1)

Fig.: source : W. Stallings, L. BrowOdile PAPINI Securite des Systemes d’Information


Legislation

Structure d’un virus : exemple (2)

Fig.: source : W. Stallings, L. Brow



Legislation


Classification des virus

virus d’amorcage

virus programme

virus de macro

virus chiffre

virus furtif

virus polymorphe

virus metamorphique



Legislation


Macro virus

tres courant depuis le milieu des annees 1990

independant des plateformesinfecte les documents, se repand facilement

exploite les capacites des applications de logiciels debureautique (word, excel, · · · )

programme executable incorpore dans un documentinfecte les documents

versions recentes des logiciels de bureautique ont desprotections

reconnus par de nombreux programmes anti-virus



Legislation


e-mail virus

developpements plus recents

en general :

utilise les macros d’un document attache (en word)

a l’ouverture du document attache la macro est activee :

le virus envoie des messages a toutes les adresses de la listed’adresses de l’utilisateur

localement, il occasionne des degats sur le systeme del’utilisateur

version plus recentes : declenchement du virus a lecture dumessage : propagation encore plus rapide



Legislation


Mesures contre les virus

prevention : solution ideale mais difficile

reaction : plus realiste

detectionidentificationretrait

en cas de detection mais impossiblite

d’ identificationou de retrait

remplacement du programme infecte



Legislation


Evolution des anti-virus

les technologies des virus et anti-virus ont evolue ensemble

premiers virus : fragments de code faciles a retirer

virus de plus en plus complexes : les contre-mesures aussi

4 generations de logiciels anti-virus

premiere generation : scanners simples (recherche de signature)deuxieme generation : regles heuristiques pour la recherche defragments de codetroisieme generation : identification des actions du virusquatrieme generation : combinaison de plusieurs techniques



Legislation


Approche anti-virus plus sophistiquee : Dechiffrement Generique(DG)

lance l’execution de fichier executable avec DG analyse

emulateur CPU pour l’interpretation des instructionsanalyse de virus pour controler les signatures de virusmodule de controle d’emulation pour gerer le processus

laisse le virus se dechiffrer dans l’interpreteur

analyse periodiquement pour reperer des signatures de virus

probleme : duree de l’interpretation et de l’analyse

compromis entre chance de detection et duree



Legislation

Approche anti-virus plus sophistiquee : Systeme

immunitaire informatique




Legislation

Approche anti-virus plus sophistiquee : Logiciel de blocage




Legislation


attaques virales : Vers (worm)

Processus parasite qui consomme, detruit et se propage sur lereseau

n’a pas besoin d’un programme hote pour se reproduire(contrairement au virus)

se reproduit par ses propres moyens sans contaminer deprogramme hote

souvent ecrits sous forme de script integres dans un courriel,une page html



Legislation


Vers

Programme qui se duplique et se propage sur le net

par courrier electronique, execution, ouverture de session adistance

comporte des phases comme un virus

dormant, propagation, declenchement, executionphase de propagation : recherche d’autres systemes,connection a ceux-ci, auto-copie sur ceux-ci et execution

peut se deguiser en processus systeme



Legislation


Vers : exemple Morris worm

l’un des vers les plus connus (concepteur Robert Morris 1988)

diverses attaques sur les systemes UNIX

craquage de fichiers de mots de passe : pour se connceter ad’autres sytemesexploitation d’un bug dans le “protocle finger”(pour donneespersonnelles)exploitation d’un bug dans le processus d’envoi et de receptionde messages electroniques

succes de l’attaque : acces a distance de shell



Legislation

Vers : modele de propagation




Legislation


Vers : exemples d’attaques

Code Redx

juillet 2001 utilise un bug de Microsoft MS IISadresses IP aleatoires, attaque de deni de service (DDoS)actif consomme une capacite de reseau signifitive

Code Red II : variante utilisant des portes derobees

SQL Slammer

2003, attaque sur serveur MS SQLcompact et diffusion tres rapide

Mydoom

2004 : envoi en masse de messages electroniqueinstalle des portes derobees pour acces distant dans les fichiersinfectes



Legislation


Vers : technologie

multi plate-forme

“multi exploit”

diffusion tres rapide

polymorphique

metamorphique

vehicules de transport

“zero-day exploit”



Legislation


Mesures contre les vers

recouvre de nombreuses techniques anti-virus

des que le vers est dans le systeme un logiciel anti-virus peutetre utilise pour le detecter

un vers developpe une activite reseau importante

les approches de defense contre les vers

filtrage par analyse de signaturesconfinement base sur des filtresconfinement base sur chargement-classificationdetection par analyse de chemin aleatoiretaux de limitation et taux d’arret



Legislation

Vers : confinement actif




Legislation

Vers : defense basee reseaux




Legislation


attaques virales : Canular (Hoax)

messages diffusant de fausses alertes au virus

messages diffusant des rumeurs

encombrement des boıtes aux lettres

encombrement du reseau

ralentissement de l’activite



Legislation




Legislation


attaques techniques : Hameconnage (Phishing)

piegeage de l’utilisateur en lui faisant croire qu’il s’adresse a untiers de confiance pour lui soutirer des informations confidentielles(mot de passe, no de carte de credit ...)

on lui demande son mot de passe

on lui demande de le changer

exemple : services bancaires en ligne, sites de ventes auxencheres (Ebay)



Legislation


attaques techniques : Hameconnage (Phishing) : exemple

l’utilisateur recoit un message :



Legislation


attaques techniques : Hameconnage (Phishing)

exemple

il va cliquer sur le lien

il croit qu’il se connecte sur le site LCL

il saisit des informations confidentielles

MAIS il ne se connecte sur un faux site LCL et un piraterecupere ces informations



Legislation


attaques techniques : Hameconnage (Phishing) : rapportAPWG (2006-2007)

37 444 sites frauduleux signalesnombre d’attaques par hameconnage :



Legislation


attaques techniques : Craquage (Cracking)

craquage de mot de passe

a l’aveuglette

comparaison du chiffrement de mots de passe supposes et demots chiffres dans le fichier /etc/passwd ou /etc/ypasswd

exemple : craquage de de jeux ou de logiciels



Legislation


attaques techniques : Renifflage (Sniffing)

analyse du traffic pour recuperer mots de passe etinformations confidentielles

sondes placees sur le reseau pour ecouter et recuperer desinformations a la volee

solutions : protocoles de communication securises (ex SSH, SSL)



Legislation


attaques techniques : Mascarade (Spoofing)

utilisation de l’adresse IP d’une machine afin d’en usurperl’identite.

recuperation de l’acces a des informations en se faisant passerla machine dont elle a usurpe l’adresse IP

creation de paquets IP avec une adresse IP sourceappartenant a quelqu’un d’autre



Legislation


attaques techniques : Smurfing

attaque du reseau IP

envoi d’un message a une adresse fausse

provoque la saturation et le blocage du reseau



Legislation


attaques techniques : Piratage telephonique (Phreaking)

utilisation du reseau telephonique d’une maniere non prevue parl’operateur, afin d’acceder a des fonctions speciales, en generalpour ne pas payer les communications et rester anonyme

exemple : Captain Crunch



Legislation


attaques techniques : Composeur d’attaques (Dialer)

logiciel balayant une serie de numeros de telephones a la recherched’un ordinateur distant

Le logiciel compose des numeros de telephone dont le cout d’appelest surtaxeexemple : annees 1990, (besoin d’un MODEM)



Legislation


attaques techniques : Rootkit

programme ou ensemble de programmes permettant de maintenirdans le temps un acces frauduleux a un SI

s’utilise apres une intrusion et l’installation d’une portederobee

fonction principale : camoufler la mise en place de plusieursportes derobees

opere des modifications sur les commandes systemes

l’installation d’un rootkit necessite des droits d’administrateur

exemple : octobre 2005 Rootkit SONY-BMG



Legislation


attaques techniques : Denis de service (DoS)

rendre une application informatique incapable de repondre auxrequetes des utilisateurs

types d’attaques nombreux :

debranchement de la prise d’un serveur

saturation d’un element charge d’animer l’application

exemple : bombe fork

Denis de service distribues (DDoS)

repose sur la parallelisation d’attaques DoS menees simultanementpar plusieurs systemes



Legislation


attaques techniques : Robots

programmes malveillants permettant une prise de controle adistance de machines vulnerables afin de former un reseaud’attaque cache (botnet)

pour s’implanter le robot utilise une methode classique

il peut etre depose sur la cible par spam, vers, virus, cheval detroie ...

il peut posseder son propre module de propagation et exploite :

une vulnerabilitedes partages ouverts (open share)des mots de passe faibles ou manquants

exemple : Hollande octobre 2005 (rapport CLUSIF)

Denis de service distribues (DDoS)Odile PAPINI Securite des Systemes d’Information


Legislation


cybersurveillance

Reseau d’ecoute Echelon (USA +UK)technologies interceptees

1956 : signaux radio HF

1965 cables sous-marins

1968 micro-ondes

1970 satellites

1980 reseaux digitaux

1990 fibres optiques

2000 internet / portables



Legislation


cybersurveillance

Reseau d’ecoute Echelon (USA +UK)



Legislation


cybersurveillance

Reseau d’ecoute Echelon (USA +UK)

objectif officiel : lutter contre

terrorisme

grand banditisme

MAIS aussi : intrusion/interception

espionnage industriel

politique

vie privee



Legislation


cybersurveillance

Autres reseaux d’ecoute

Frenchelon & ESSAIM (francais)

Nice Track (belge)

Magic Lantern (FBI)

SORM (russe)

· · ·



Legislation


cybersurveillance

Frenchelon & ESSAIMcree en 2003

surveillance radar, radio

orbite 680 km d’altitude

4 microsatellites sur des orbites perpendiculaires

station de controle a Toulouse

LSI ou loi Sarkosy II (mars 2003)

conservation des donnees relatives au trafic sur Internet ! ! !



Legislation


attaques classiques

vol

detournement

destruction

sabotage

chantage

exemples : (rapports CLUSIF)



Legislation


cybercriminalite (CLUSIF )

vols de code source

chantage, extorsion, racket sur Internet

cyberterrorisme

menaces sur la mobilite (telephones)

hameconnage

economie souterraine


vols et pertes de donnees, d’ordinateurs, de supports desauvegarde

harcelement



Legislation


cybercriminalite (CLUSIF )

panorama 2006

les mules

vols d’identite

SPIT nouvelles opportunites de ”spamming”

manipulation du cours de la bourse

vulnerabilites et attaques ”0-Day”

ecoutes et enquetes a haut risque



Legislation


cybercriminalite (CLUSIF)

panorama 2007

mondes virtuels

attaques en reputation

piratage pour focaliser l’attention


reseaux sociaux : nouvelles opportunites de malveillance



Legislation



panorama 2007

sophistication des attaques

enjeux malveillants sur le e-commerce

fraude aux cartes bancaires via internetescroqueries via les sites d’encheres

faits marquants

“cyber-guerre” en Estonie“cyber-attaques” chinoises



Legislation


cybercriminalite (CLUSIF) : Les mondes virtuels



Legislation



les mondes virtuels ont des monnaies virtuelles



Legislation



piratage sur les mondes virtuels :

chevaux de Troie, vol de mot de passe

virus

hammeconnage (phishing)

exploitation de tiers (farming)



Legislation


cybercriminalite (CLUSIF ) : Les mondes virtuels

chevaux de Troie, vol de mot de passe



Legislation


cybercriminalite (CLUSIF ) : Les mondes virtuels

virus



Legislation



hammeconnage



Legislation



exploitation de tiers



Legislation


cybercriminalite (CLUSIF 2008) : Les mondes virtuels

fournisseurs et editeurs dont il faut se mefier



Legislation



panorama 2007

attaques en deni de service (DoS ou DDoS)

CastleCopsorganismes de lutte anti-spam et anti-phishing

attaques en reputation

CastleCops : donations frauduleuses



Legislation



panorama 2007 : attaques en reputation : donations frauduleuses

virements Paypal effectues au profit de CastleCops

source des donations : comptes bancaires pirates par phishing

montant des donations : 1 a 2800 US $

CastleCops : coupable designeimage altereeperte de temps, de moyens, d’argent

verifications, comptabilite, remboursementsactions en justiceblocage de compte



Legislation



panorama 2007 : espionnage industriel

volume d’affaires d’espionnage industriel ne faiblit pas

espionnage industriel : employes de l’entreprise

2 grandes affaires dans le monde de la Formule 1 en 2007

Mc Laren et FerrariRenault-F1 et Mc Laren



Legislation



panorama 2007 : reseaux sociaux : opportunites de malveillance

nombreux reseaux sociaux sur internet (Classmates, Facebook,Myspace etc..)

pour certains d’entre eux : des millions d’inscrits

possibilites d’attaques

acces frauduleux : Facebook 2007impostures : Myspace 2007infections : Myspace 2007



Legislation


Les clubs,observatoires associations, sites internet

CLUSIF, CLUb de la Securite Informatique en France

http ://www.clusif.asso.fr

OSSIR, Observatoire de la Securite des systemesd’Information et des Reseaux

http ://www.ossir.org

CRU, Centre des Reseaux Universitaires

http ://www.cru.fr

CNRS et UREC, Unite des Reseaux du Cnrs

http ://www.cnrs.fr/InfosecuOdile PAPINI Securite des Systemes d’Information


Legislation

Legislation

loi informatique et libertes no 78-17 du 6/01/78 relativea l’informatique et aux libertes (modifiee en 92 et en 93)

loi relative a la fraude informatique 92-957 du 01/07/92

loi relative aux infractions aux regles de cryptologie du29/07/81, modifiee le 26/07/96, modifiee le 17/03/99

decret no 99-199 du 17/03/99 definissant les categories demoyens et de prestations de cryptologie pour lesquelles la procedurede declaration prealable est substituee a celle d’autorisation

decret no 99-200 du 17/03/99 definissant les categories demoyens et de prestations de cryptologie dispensees de toute formaliepealable



Legislation

Legislation

loi sur la signature electronique 200-230 du 13/03/00

l’ecrit electronique signe a la meme valeur que l’ecrit signe surpapierequivalence papier electronique en presence de signaturela signature electronique ”jusqu’a preuve du contraire” authentifie lesignataire et garantit l’integrite du document (article 4) Loi sur lasignature electronique 200-230 du 13/03/00revient a faire confiance a l’organisme qui fournit la signatureelectronique

loi de reglementation des telecomunications du26/07/96

regles au niveau europeen

lignes directrices au niveau mondial (OCDE)



Legislation

Legislation

Criminalite des hautes technologies (OCLCTIC)

criminalite informatique (definitions)toute action illegale dans laquelle un ordinateur est l’instrument oul’objet d’un delit (delit dont le moyen ou le but est d’influencer lafonction de l’ordinateur)tout acte intentionnel associe d’une maniere ou d’une autre a latechnique informatique dans laquelle une victime a subi ou aurait pusubir un prejudice et dans laquelle l’auteur a tire ou aurait puintentionnellement tirer profit

cybercriminaliteensemble des infractions penales susceptibles de se commettre surdes reseaux de telecommunications en general et plusparticulierement sur les reseaux partageant Internet



Legislation

Legislation

Code penal

article 323.1acceder frauduleusement a un systeme de traitement automatise del’information

article 323.2entraver ou fausser un systeme de traitement automatise del’information

article 323.3introduire frauduleusement des donnees dans un systeme detraitement automatise de l’information

conduit a un delit penal passible de :3 ans d’emprisonnement50 000 euros d’amende



Legislation

Legislation

Quelques sites

http ://www.journal-officiel.gouv.fr

http ://www.legifrance.gouv.fr

http ://www.jurifrance.gouv.fr

http ://www.justice.gouv.fr



Legislation

Legislation

Quelques organismes officiels

CNIL : http ://www.cnil.fr

DCSSI : http ://www.ssi.gouv.fr

CESTI

OCLCTIC : http ://www.interieur.gouv.fr/police/oclctic

ART : http ://www.art-telecom.fr

CERT



Legislation

Legislation

CNIL : Commission Nationale de l’Informatique et desLibertes (http ://www.cnil.fr)

ses missions :

recenser les fichiers en enregistrant les demandes d’avis et lesdeclarations, en tenant a jour et en mettant a disposition du public le”fichier des fichiers”

controler en procedant a des verifications sur place

reglementer en etablissant des normes simplifiees pour les traitements lesplus courants et les moins dangereux

garantir le droit d’acces en exercant le droit d’acces indirect, enparticulier au fichier des Renseignements Generaux

instruire les plaintes

informer les personnes de leurs droits et obligations, conseiller, proposerdes mesures



Legislation

Legislation

Loi Informatique et des Libertes : droits et obligations

Tout traitement automatise d’informations nominatives doit,avant sa mise en oeuvre, etre declare ou soumis a la CNILafin :

de responsabiliser les utilisateurs de donnees nominatives

de permettre a la CNIL de controler et d’influencer les choix effectues

reglementer en etablissant des normes simplifiees pour les traitements lesplus courants et les moins dangereux

d’assurer grace a la publicite a laquelle elles donnent lieu, la transparencenecessaire a l’exercice des droits des personnes concernees par lestraitements



Legislation

Legislation

Nature des formalites

un regime d’avis pour le secteur public : les traitements publics sontcrees par un acte reglementaire apres avis motive de la CNIL

un regime declaration pour le secteur prive

un regime declaration simplifie pour les traitements les plus courants,publics ou prives

exemple :

quel sera la finalite du fichier ?

quelles informations vont etre enregistrees, pendant combien de temps ?

qui y aura acces ?

a quel service les personnes peuvent-elles s’adresse pour exercer leur droitd’acces ?



Legislation

Legislation

DCSSI : Direction Centrale de la Securite des Systemesd’Information (http ://www.ssi.gouv.fr)

depend du premier ministreses missions :

evaluer les procedes de chiffrement, les produits et systemes

agreer les equipements, produits, · · · utilises pour le traitement desdonnees classees defense

proceder a l’agrement des CESTI

certifier les produits evalues par les CESTI

instruire les demandes autour de la cryptologie

elaborer et distribuer les cles de chiffrement pour le secteur public ouprive

participer aux actions de normalisation



Legislation

Legislation

les CESTI : Centres d’Evaluation de la Securite desTechnologies d’Information

centres publics ou privesmissions :

evaluer evaluer de facon independante et suivant des rgles deschemas fournis les produits en vue de la certification DCSSI

proposer de l’expertise



Legislation

Legislation

OCLCTIC : Office Central de Lutte Contre la Criminalite lieeaux Technologies de l’Information et de la Communication

(http ://www.interieur.gouv.fr/police/oclctic)depend de la Police Nationaledouble mission :

operationnelle

realisation d’enquetes judiciaires de haut niveau techniquemenees d’initiative ou a la demande des magistratsassistance technique a l’occasion d’enquetes menees pard’autres Services (pedophilie, prostitution,trafic de stup., · · · )

strategique

formation, animation et coordination de l’action des autresservices rpressifs, competents en matiere d’infractions liees auxtechnologies de l’information et de la communicationcooperation internationale



Legislation

Legislation

ART : Autorite de Regulation des Telecommunication

(http ://www.art-telecom.fr)liens entre l’ART et l’informatique

vecteur de transport de l’information

reseaux metropolitains, inter-regionaux, inter-entreprises, · · ·→ fournisseurs indirects de telecommunication

loi de reglementation des telecommunications du 26/07/96 etablit unenouvelle repartition des missions de regulation au sein de l’etat avec la creationd’une autorite administrative autonome. Les missions :

favoriser l’exercice au benefice des utilisateurs d’une concurrenceeffective, loyale et durable

veiller au developpement de l’emploi, de l’innovation et de lacompetitivite dans le secteur des telecommunications

prendre en compte les interets des territoires et des utilisateurs dansl’acces aux services et aux equipements



Legislation

Legislation

les CERT : Computer Emergency Response Teams

groupes au service d’une communaute identifieeRenater (Reseau National Technologie EnseignementRecherche)

missions :

reagir efficacement et au plus vite sur les problemes de securite

competence techniques pointuespoints de contact en cas de problemerelations avec les autres organismesvolonte de prevention



Legislation

Legislation

les CERT : Computer Emergency Response Teams

3 CERT en France

CERT Renater (enseignement, recherche)http ://www.renater.fr/Securite/CERT Renater.htmCERT A (administration)http ://www.ssi.gouv.fr/rubriq/certa.htmCERT IST (Industrie, Services, Tertiaire)http ://www.ssi.gouv.fr/rubriq/certa.htm

coordination europenne

TF-CSIRT

organisation mondiale des CERT : FIRST

FIRST : Forum of Incident Response and Security Teamhttp ://www.first.org/les 3 CERT francais sont integres dans le FIRST



Legislation


Les solutions

materielles :

firewallproxy

protocoles securises, · · ·

logicielles :

politique de securite

controle d’accesanti-virus

anti-spyware

systemes de detection d’intrusion

utilisation de la biometrieOdile PAPINI Securite des Systemes d’Information

Partie II Cours 1 : Menaces et attaquesodile.papini.perso.luminy.univ-amu.fr/sources/... ·...

Documents

Transcript of Partie II Cours 1 : Menaces et attaquesodile.papini.perso.luminy.univ-amu.fr/sources/... ·...