Securité des systemes informatiques

139
Sécurité des systèmes informatiques Éric Marsden <[email protected]>

Transcript of Securité des systemes informatiques

Page 1: Securité des systemes informatiques

Sécurité des systèmesinformatiques

Éric Marsden<[email protected]>

Page 2: Securité des systemes informatiques

Terminologie

sûreté de fonctionnement

disponibilité(availability)

fiabilité(reliability)

sécurité/innocuité(safety)

confidentialité intégrité maintenabilité

prêt à l’utilisation

continuité deservice

absence de conséquences

catastrophiques pourl’environnement

absence de divulgations

non-autorisées del’information

absence d’altérationsinappropriées de

l’information

aptitude auxréparations etaux évolutions

2 / 128

Page 3: Securité des systemes informatiques

Terminologie

« sécurité informatique »Absence d’accès ou de manipulations non-autorisés de l’état du système

d’après Guide de la Sûreté de Fonctionnement,Éd. J-C. Laprie, 1996

sûreté de fonctionnement

disponibilité(availability)

fiabilité(reliability)

sécurité/innocuité(safety)

confidentialité intégrité maintenabilité

prêt à l’utilisation

continuité deservice

absence de conséquences

catastrophiques pourl’environnement

absence de divulgations

non-autorisées del’information

absence d’altérationsinappropriées de

l’information

aptitude auxréparations etaux évolutions

2 / 128

Page 4: Securité des systemes informatiques

Plan de la présentation

▷ Introduction et enjeux

▷ Les entraves / menaces• virus, vers, pirates

▷ Les attributs de la sécurité informatique• confidentialité, intégrité, non-répudiation…

▷ Les moyens pour la sécurité informatique• politiques de sécurité

• contre-mesures techniques

C e t t e p r é s en t a t i o n : u

n s u r v o l de

c e r t a i n s c on c e p t s i m p

o r t a n t s

P o i n t d e vu e g e s t i o n

d e s r i s q u es /

m a n a g é r i al , p l u t ô t q u

e

t e c h n o l o g iq u e

3 / 128

Page 5: Securité des systemes informatiques

Les menaces

4 / 128

Page 6: Securité des systemes informatiques

2000 à Maroochy Shire en Australie : unconsultant sur un projet de retraitement d’eauauquel on avait refusé l’embauche définitive,a pu pénétrer dans le système informatiqued’une installation de traitement d’eaux usées,et provoquer la décharge d’un million de litresd’eaux usées dans l’environnement.

5 / 128

Page 7: Securité des systemes informatiques

2010 : la nsa et les services secrets israéliensprovoquent de graves dégradations sur lescentrifugeuses iraniennes d’enrichissementd’uranium, grâce à un vers nommé Stuxnet quia attaqué le système de contrôle-commande del’installation.

6 / 128

Page 8: Securité des systemes informatiques

2003 : le ver Slammer a infecté le réseauinformatique de la centrale nucléaire de Davis-Besse, dans l’Ohio. L’attaque, qui a atteint lesystème d’information de la centrale en passant parune liaison privée avec le réseau d’une entreprisesous-traitante, a neutralisé deux systèmes decontrôle importants, sans toutefois mettre la centraleen danger.

7 / 128

Page 9: Securité des systemes informatiques

Problème ?

Source : EY’s 19th Global Information Security Survey 2016-17

8 / 128

Page 10: Securité des systemes informatiques

Based on actual incidents, these threats and vulnerabilities have most changed respondents’ risk exposure over the last 12 months

Vulnerabilities (Vulnerability is def ned as the state in which exposure to the possibility of being attacked or harmed exists)

Vulnerabilities related to mobile computing use

Vulnerabilities related to social media use

Vulnerabilities related to cloud computing use

Careless or unaware employees

Outdated information security controls or architecture

Unauthorized access (e.g., due to location of data)

Increased in past 12 months Same in past 12 months Decreased in past 12 months

15% 71% 14%

32% 61% 7%

45% 48% 7%

25% 68% 7%

24% 58% 18%

18% 60% 22%

Source : EY’s Global Information Survey, 2013

9 / 128

Page 11: Securité des systemes informatiques

Based on actual incidents, these threats and vulnerabilities have most changed respondents’ risk exposure over the last 12 months

Threats (Threat is defined as a statement to inflict a hostile action from actors in the external environment)

Phishing

Malware (e.g., viruses, worms and Trojan horses)

Spam

Cyber attacks to disrupt or deface the organization

Fraud

Cyber attacks to steal f nancial information (credit card numbers, bank information, etc.)

Cyber attacks to steal intellectual property or data

Natural disasters (storms, f ooding, etc.)

Internal attacks (e.g., by disgruntled employees)

Espionage (e.g., by competitors)

Key: Increased in past 12 months Same in past 12 months Decreased in past 12 months

29% 57% 14%

32% 58% 10%

10% 75% 15%

31% 55% 14%

9% 78% 13%

17% 74% 9%

8% 82% 10%

13% 77% 10%

14% 76% 10%

20% 69% 11%

Source : EY’s Global Information Survey, 2013

10 / 128

Page 12: Securité des systemes informatiques

Source : EY’s Global Information Survey, 2004

11 / 128

Page 13: Securité des systemes informatiques

Types d’adversaires

▷ Pseudo-pirate sans connaissances (“script-kiddie”)

▷ Individu extérieur expérimenté (“pirate” ou “hacktivist”)

▷ Individu interne à l’organisation (“insider threat”)

▷ Crime organisé

▷ Terroriste

▷ État-nation

L a n a t u r ed e s d é f e n s

e s à m e t t re e n

p l a c e s e r af o n c t i o n d

u m o d è l e de

m e n a c e s

12 / 128

Page 14: Securité des systemes informatiques

13 / 128

Page 15: Securité des systemes informatiques

Objectifs des adversaires

▷ Loisir• comprendre le fonctionnement de systèmes complexes

• démontrer sa prouesse technique

▷ Vol de données• espionnage, revente, rançon, extorsion

▷ Manipulation de données• obtenir un bénéfice dans le monde réel

• discréditer un adversaire

▷ Utilisation de ressources informatiques• envoyer des courriels malveillants

• participer à des attaques en déni de service

• servir de « point relai » pour attaquer une autre machine

• héberger du contenu illicite

• utiliser le temps de calcul (“bitmining”)14 / 128

Page 16: Securité des systemes informatiques

But intermédiaire : installer un logiciel malfaisant caché

▷ Le logiciel malfaisant (“malware” pour malicious software) agitpour le compte de l’attaquant

▷ Exfiltrer des informations (contenu de fichiers, frappes clavier)

▷ Espionner le trafic du réseau interne et permettre d’identifierd’autres cibles

▷ Servir de point de lancement pour attaquer d’autres machines,envoyer des spams

▷ Participer à une attaque en déni de service

▷ Afficher des publicités / cliquer sur des publicités

15 / 128

Page 17: Securité des systemes informatiques

Terminologie

estiment

veulent faire mauvais usage ou peuvent endommager

peuvent être conscient

Les propriétaires

amenant

le risque

les biens

Les agents menaçants

des menaces

imposent

qui peuventinclure

souhaitent minimiser

contrequiaccroissent

des contre-mesures

des vulnérabilités

pour réduire

quiexploitent

pouvant êtreréduites par

surprovoquent

Source : norme ISO 15408 Critères communs

16 / 128

Page 18: Securité des systemes informatiques

Terminologie

Owners

Countermeasures

Vulnerabilities

Threatagents

Risks

AssetsThreats

value

wish to minimise

imposereduce

that may possess

that may be reduced by

may be aware of

leading to

that exploit

that increase

wish to abuse and/or may damage

to

to

give rise to

AttackVectorsbased on (set of)

use

Source : norme ISO 15408 Critères communs

17 / 128

Page 19: Securité des systemes informatiques

Terminologie : virus

Un virus : « infecte » d’autres fichiers lorsqu’ilest ouvert/exécuté

▷ exemple : macro dans Microsoft Word quiinfecte d’autres fichiers Microsoft Word

▷ exemple : logiciel exécuté automatiquementlors du branchement d’une clé usb

▷ relativement peu usité en 2017

18 / 128

Page 20: Securité des systemes informatiques

Terminologie : ver

Un ver infecte d’autres ordinateurs en sepropageant par le réseau

▷ exploite des vulnérabilités logicielles desapplicatifs réseau

▷ peut se propager à une vitesse exponentiellejusqu’à saturer le réseau et les machines

▷ les vers se propagent bien principalementdans les systèmes homogènes

19 / 128

Page 21: Securité des systemes informatiques

Terminologie : cheval de Troie

Un cheval de Troie (“trojan”) est un logicielmalfaisant qui se fait passer pour un logicielutile.

Parfois installé comme « bonus » lorsqu’oninstalle un logiciel gratuit.

20 / 128

Page 22: Securité des systemes informatiques

Terminologie : porte dérobée

Une porte dérobée (“backdoor”) est un logicielqui permet à un attaquant distant de seconnecter sur la machine cible.

21 / 128

Page 23: Securité des systemes informatiques

Terminologie : logiciel espion / “spyware”

Un logiciel espion (“spyware”) collecte desinformations et les transmet à l’attaquant

▷ données confidentielles

▷ codes de carte bancaire

▷ identifiants de banque en ligne

▷ mots de passe…

22 / 128

Page 24: Securité des systemes informatiques

Terminologie : rançongiciel

Un rançongiciel (“ransomware”) chiffre toutesles données d’un ordinateur et réclame unerançon en échange de la clé de déchiffrement.

Si les sauvegardes sont accessiblesinformatiquement depuis la machine cible(disque dur externe connecté, volume réseauaccessible…), ils peuvent également êtrechiffrés.

2016 : seulement 18% des hôpitaux n’auraientpas été infectées par un rançongiciel.

23 / 128

Page 25: Securité des systemes informatiques

Terminologie : rançongiciel

Source : Symantec

24 / 128

Page 26: Securité des systemes informatiques

Terminologie : adware

Le adware est un logiciel malfaisant destiné àafficher des publicités sur la machine infectée

▷ fenetres de publicité intempestives

▷ « barres de recherche » dans le navigateur

▷ souvent installés par des logiciels gratuits(forme de monétisation pour lesdéveloppeurs peu scrupuleux)

25 / 128

Page 27: Securité des systemes informatiques

Taxonomie des menaces

26 / 128

Page 28: Securité des systemes informatiques

Attaque par « point d’eau » (“watering hole”)

Objectif : infecter ordinateur de personnestravaillant dans un secteur particulier ou entreprisecible

Technique : piéger un site web fréquenté par lespersonnes cibles

▷ association professionnelle, organisme sportif

27 / 128

Page 29: Securité des systemes informatiques

Attaque par hameçonnage (“phishing”)

▷ Objectif : infecter un ordinateur/téléphoneayant accès au réseau de l’organisme cible• contourner le parefeu qui protège le réseau

interne

• récolter des informations au sein du réseauinterne

• servir de point de lancement d’attaques visantd’autres machines plus critiques

▷ Technique : envoyer des courriels avec unepièce jointe piégée, ou renvoyant sur un siteinternet falsifié qui collecte les identifiants etmots de passe

28 / 128

Page 30: Securité des systemes informatiques

Attaque par hameçonnage

L e s a t t a q ua n t s u t i l i s

e n t d i v e r s es

a s t u c e s p ou r f a i r e c r

o i r e q u e l es i t e

e s t o f f i c i el

29 / 128

Page 31: Securité des systemes informatiques

Vidéo pédagogique

Vidéo pédagogique sur l’hameçonnage par La sécurité au Canada

Visionner la vidéo : youtu.be/0IH9mz1yQjY

30 / 128

Page 32: Securité des systemes informatiques

Ingénierie sociale pour contourner les protections techniques

L e s a t t a q ua n t s u t i l i s

e n t d e s r us e s

p o u r c h e r ch e r à c o n v

a i n c r e l e s

u t i l i s a t e u rs d ’ i n s t a l l e

r u n l o g i c ie l o u

d é s a c t i v e rd e s p r o t e c

t i o n s i n t é gr é e s

31 / 128

Page 33: Securité des systemes informatiques

Aparté : analyse économique des arnaques par courriel

▷ Escroquerie « trésor du Bénin » ou « fraude 419 » :• L’arnaqueur demande de l’aide pour effectuer un transfert

d’une importante somme d’argent, en échange d’unpourcentage pour aide rendue

• Si la victime accepte, on lui demandera petit à petitd’avancer des sommes d’argent destinées à couvrir desfrais imaginaires (notaires, entreprises de sécurité,pots-de-vin…)

▷ Pourquoi ces messages d’arnaque « trésor au Bénin »sont-ils si mal rédigés ?

32 / 128

Page 34: Securité des systemes informatiques

Aparté : analyse économique des arnaques par courriel

▷ L’envoi massif de spams a un coût quasi-nul

▷ La négociation avec les gens qui répondent coûte cher aux arnaqueurs• répondre aux messages, envoyer des photos, rassurer au téléphone

• certaines victimes potentielles se rendent compte de l’arnaque en cours dediscussion

• rentabilité maximale pour les arnaqueurs lorsque peu de personnes aveclesquelles ils « investissent » du temps de persuasion sont perdus en route

▷ Les arnaqueurs ont donc intérêt à établir des négociations uniquementavec des « proies » faciles• une personne qui répond à un message même lorsqu’il contient des signes

indiquant l’arnaque mérite un investissement en temps

▷ La forme surprenante des messages d’arnaque est calculée pour filtrer lesproies utiles des autres

33 / 128

Page 35: Securité des systemes informatiques

Attaque par spear phishing

▷ Objectif : infecter l’ordinateur d’une personne ciblée disposant d’accèscritiques dans l’organisme ciblé• directeurs, administrateurs système, comptables…

▷ Technique : courriel ciblé (ou message Facebook / Skype etc.) qui utilisedes informations véridiques (noms de collaborateurs, de projets) pouraugmenter sa crédibilité, invitant à ouvrir une pièce jointe ou se rendresur un site web malveillant.

▷ Exemple : des membres de l’opposition au Maroc ont reçu un documentprétendument rédigé par un reporter Al Jazeera qui disait contenir desrévélations sur une scandale politique

34 / 128

Page 36: Securité des systemes informatiques

35 / 128

Page 37: Securité des systemes informatiques

Attaque par interposition (“man in the middle”)

▷ Objectifs :• récupérer des identifiants permettant un accès à distance

• espionner une communication

• modifier un message lors de sa transmission

▷ Technique : s’interposer lors d’une communication et se faire passer pour le tiers distant• exemple : sur wifi public, répondre à une requête de résolution de noms en donnant l’adresse réseau

d’une machine qu’on contrôle plutôt que la véritable adresse du service souhaité

• exemple : un fournisseur d’accès réseau peut espionner les communications de ses clients (contenudes messages lorsqu’ils ne sont pas chiffrés, destinataires des messages même lorsqu’ils sont chiffrés)et vendre l’information à des annonceurs

• exemple : un gouvernement autoritaire peut espionner les messages téléphoniques etcommunications web non-chiffrées de tous les citoyens du pays

• le chiffrement et les certificats https protègent contre ce type d’attaque

36 / 128

Page 38: Securité des systemes informatiques

Attaque par interposition DNS

Quelle est l’adresse IP dewww.schmouf.fr ?

C’est 3.4.5.6

3.4.5.6

Le DNS (“domain name system”)permet de faire correspondre desnoms symboliques (www.schmouf.fr)à des adresses réseau.

37 / 128

Page 39: Securité des systemes informatiques

Attaque par interposition DNS

Quelle est l’adresse IP dewww.schmouf.fr ?

C’est 3.4.5.6

3.4.5.6

Le DNS (“domain name system”)permet de faire correspondre desnoms symboliques (www.schmouf.fr)à des adresses réseau.

37 / 128

Page 40: Securité des systemes informatiques

Attaque par interposition DNS

Quelle est l’adresse IP dewww.schmouf.fr ?

C’est 3.4.5.6

3.4.5.6

Le DNS (“domain name system”)permet de faire correspondre desnoms symboliques (www.schmouf.fr)à des adresses réseau.

37 / 128

Page 41: Securité des systemes informatiques

Attaque par interposition DNS

Quelle est l’adresse IP dewww.schmouf.fr ?

C’est 6.6.6.6

3.4.5.6

6.6.6.6

Une machine malveillante sur leréseau local peut donner desrésolutions de nom fausses, etrediriger le client vers un serveurmalveillant.

Deux formes de protection possibles :

▷ les certificats : le client vérifieraque le serveur est bien qui ilprétend être

▷ l’utilisation de dnssec, uneversion sécurisée du dns

38 / 128

Page 42: Securité des systemes informatiques

Attaque par interposition DNS

Quelle est l’adresse IP dewww.schmouf.fr ?

C’est 6.6.6.6

3.4.5.6

6.6.6.6

Une machine malveillante sur leréseau local peut donner desrésolutions de nom fausses, etrediriger le client vers un serveurmalveillant.

Deux formes de protection possibles :

▷ les certificats : le client vérifieraque le serveur est bien qui ilprétend être

▷ l’utilisation de dnssec, uneversion sécurisée du dns

38 / 128

Page 43: Securité des systemes informatiques

Attaque par interposition DNS

Quelle est l’adresse IP dewww.schmouf.fr ?

C’est 6.6.6.6

3.4.5.6

6.6.6.6

Une machine malveillante sur leréseau local peut donner desrésolutions de nom fausses, etrediriger le client vers un serveurmalveillant.

Deux formes de protection possibles :

▷ les certificats : le client vérifieraque le serveur est bien qui ilprétend être

▷ l’utilisation de dnssec, uneversion sécurisée du dns

38 / 128

Page 44: Securité des systemes informatiques

Vulnérabilités web : injection SQL

Applicatifs web : traiter avec grandeprudence les données fournies parl’utilisateur (champs d’un formulaire).

Il existe une importante famille devulnérabilités liées à des donnéesutilisateur transmises sans prudence àla base de données (qui utilise souventle langage sql).

Risques de perte de données, decorruption de données, d’obtention deprivilèges indus.

Source : xkcd.com/327/, licence CC BY-NC

39 / 128

Page 45: Securité des systemes informatiques

Vulnérabilités logicielles

Les vulnérabilités logicielles qui sontconnues publiquement reçoivent unidentifiant CVE

Des bases de données devulnérabilités permettent de suivre lenombre et la gravité des vulnérabilitésaffectant un composant logiciel

▷ exemple : cvedetails.com

40 / 128

Page 46: Securité des systemes informatiques

Vulnérabilités logicielles

▷ Certains logiciels sont notoirement connus pour regorger devulnérabilités…• lecteur Adobe Flash, Adobe Reader (PDF)

• navigateur web Internet Explorer

• Microsoft Windows

• suite Microsoft Office

• base de données Oracle

▷ Les vulnérabilités les plus dangereuses (“zero-day”) ne sont pas connues• difficile de se protéger, de détecter l’intrusion

41 / 128

Page 47: Securité des systemes informatiques

Marché international pour les vulnérabilités

▷ Les états-nations constituent des stocks de vulnérabilités pour leursactions de d’espionnage, de contre-terrorisme, de cyber-guerre• exemple : importante collection de la cia rendue public par WikiLeaks en 2017

▷ Des sociétés privées les vendent à des états ou au plus offrant• exemple : ReVuln, entreprise basée à Malte, spécialisée dans la vente de

vulnérabilités “zero-day” pour les systèmes scada

▷ Organisations mafieuses les identifient et en tirent profit

▷ Certaines entreprises (surtout secteur web) gèrent des programmes de“bug bounty”• les individus qui identifient et notifient une nouvelle vulnérabilité sont

récompensés (en k€ par vulnérabilité sérieuse)

• objectif : inciter les hackers “white hat” (gentils) à trouver et signaler desvulnérabilités, plutôt que les laisser exploiter par des organismes mafieux oudes états

42 / 128

Page 48: Securité des systemes informatiques

Vulnérabilités logicielles réseau

▷ Les équipements sont souvent vendus avec un compteadministrateur activé avec un mot de passe par défaut• équipements réseau, automates, imprimantes, webcams…

▷ Les administrateurs ne pensent pas forcément à changer cesmots de passe

▷ Des sites web indiquent les mots de passe par défaut pour desmilliers d’équipements• www.routerpasswords.com

• www.phenoelit.org/dpl/dpl.html

43 / 128

Page 49: Securité des systemes informatiques

Vulnérabilités logicielles réseau

▷ 2015 : Fiat Chrysler lance un rappel pour 1.4 million de véhicules dont lesfreins, accélérateur et volant pouvaient être contrôlés depuis Internet

▷ Le mécanisme des clés sans fil pour voiture a été cassé pour permettre desvols

▷ Secteur médical : vulnérabilités logicielles dans des pompes à insuline etdes implants cardiaques

44 / 128

Page 50: Securité des systemes informatiques

Pourquoi tant de vulnérabilités ?

▷ Les systèmes informatiques sont très complexes et évoluent rapidement

▷ Propriété du numérique : une minuscule erreur peut avoir des impactscatastrophiques• concept de «marge de sécurité » est inopérant

▷ Produire du logiciel de qualité est long, et le marché valorise les premiersentrants• effet de réseau (un logiciel vaut davantage quand vos collègues l’utilisent)

• coût de développement important, coût marginal de vente quasi-nul

• changer de logiciel est compliqué → clients captifs

→ effets “winner takes all”

45 / 128

Page 51: Securité des systemes informatiques

Pourquoi tant de vulnérabilités ?

▷ Le coût est en partie porté par les victimes plutôt que par les clients• en termes économiques, c’est une externalité

▷ Le marché ne sanctionne pas les éditeurs responsables de produits peusûrs• “market for lemons” d’après Akerlof : un acheteur ne sait pas évaluer le niveau

de sécurité d’un logiciel avant de l’acheter

▷ Effets de sélection adverse lorsque les éditeurs tentent de mettre enplace des labels• exemple : label TRUSTe utilisé davantage sur sites web peu dignes de confiance

▷ Réglementation inexistante dans la plupart des secteurs

▷ Peu de recours légaux par les victimes

Plus d’informations : page web Economics and security resource page de Ross Anderson, cl.cam.ac.uk/ rja14/econsec.html

46 / 128

Page 52: Securité des systemes informatiques

Pourquoi tant de vulnérabilités ?

▷ Tout système complexe est composé d’éléments « bons » et d’éléments«mauvais »• employés plus ou moins talentueux, composants de qualité variable…

▷ La sécurité est-elle fonction plutôt des bons, plutôt des mauvais, ou de lasomme de leurs efforts ?

▷ La sécurité/innocuité (“safety”) est menacée par des fautes aléatoires• le niveau de sécurité résulte plutôt de la somme des efforts

▷ La sécurité informatique est menacée par des attaquants qui ciblent lepoint le plus vulnérable• le niveau de sécurité résulte surtout des éléments les moins bons du système

47 / 128

Page 53: Securité des systemes informatiques

Vulnérabilités logicielles : comment se protéger ?

En tant qu’utilisateur normal :

▷ Maintenir système et logiciels à jour

▷ Bloquer le contenu Flash dans son navigateur (au moinsclick-to-play)

▷ Utiliser un bloqueur de publicités (canal de propagationfréquent pour les attaques web)• mais impact sur le modèle économique des sites d’information…

▷ Éviter les logiciels les moins sûrs (lorsque des alternativesexistent…)• exemple : préférer un Chromebook à un ordinateur MicrosoftWindows

• exemple : préférer Chrome à Internet Explorer/Edge

48 / 128

Page 54: Securité des systemes informatiques

Comment les éditeurs peuvent lutter contre les vulnérabilités

logicielles

Source : NIST (2016)

49 / 128

Page 55: Securité des systemes informatiques

Clés USB malveillantes

▷ Objectif : installer un logiciel malveillant (espionnage…) sur unemachine interne au réseau de l’organisme cible

▷ Technique : distribuer des clés usb infectées « gratuites » devant leslocaux, ou les laisser traîner au sol sur le parking, ou les remettre lorsd’événements professionnels• beaucoup d’ordinateurs exécutent encore « aveuglement » les logiciels se

trouvant sur les clés usb ou cd (mécanisme de “autorun”)

• une « clé usb » peut se présenter informatiquement comme un clavier usb, etespionner toutes les touches frappées (“keylogger”)

• tests en 2016 : ≈ la moitié des gens branchent une clé usb trouvée sur leparking de leur lieu de travail

50 / 128

Page 56: Securité des systemes informatiques

Les attaques en déni de service

▷ Objectif : rendre un service internet (site de vente en ligne, site webd’information…) inaccessible par les utilisateurs• attaques parfois conduites par des réseaux mafieux qui réclament un rançon

avant de lancer l’attaque

• d’autres attaques constituent une forme de «manifestation » sur Internet(Anonymous…)

▷ Technique : générer un volume de trafic réseau très important visant lamachine cible, pour saturer ses capacités de réponse• le trafic provient généralement de machines infectées à l’insu de leurs

propriétaires (“botnets”, parfois constitués de millions de machines)

• il s’agit parfois de périphériques (caméras de surveillance, routeurs internet,frigos)

▷ En anglais, DDoS pour distributed denial of service

51 / 128

Page 57: Securité des systemes informatiques

Réseaux de machines infestées

Crédit image : Tom-b via Wikimedia Commons, licence CC BY-SA

52 / 128

Page 58: Securité des systemes informatiques

Réseaux de machines infestées

▷ Crime organisé : cherche à construire des réseaux de machines infestéesdans une approche non-ciblée• “botnet” ou réseau de machines sous le contrôle de l’attaquant

• serviront à des attaques en déni de service, spam, publicité

▷ Individus, espions, militaires : attaques ciblées plus discrètes• cherchent à rester invisibles à l’utilisateur et aux administrateurs réseau

• collectent et exfiltrent les informations

53 / 128

Page 59: Securité des systemes informatiques

Rançongiciel (“ransomware”)

▷ Objectif : chiffrer toutes les données d’un ordinateur et réclamer unerançon en échange de la clé de déchiffrement

▷ Technique :• un logiciel malveillant est installé à l’aide d’une vulnérabilité logicielle (courriel

malveillant, page web malveillante…)

• une fois les données chiffrées une page web demandant une rançon en échangedu mot de passe de déchiffrement

• rançon payée en bitcoins de façon à être intraçable

• les sauvegardes sont également chiffrées si elles sont accessibles (par le réseau,disque dur externe connecté…)

54 / 128

Page 60: Securité des systemes informatiques

Attaque via la chaîne logistique

▷ Objectif : installer un logiciel malveillant sur des postesd’administrateurs système disposant de privilèges élevés

▷ Technique : corrompre un produit logiciel fourni par une société tiers eny insérant une porte dérobée (“backdoor”)• logiciels choisis : produits utilisés par des administrateurs système

• l’attaquant peut aussi intercepter et corrompre les demandes de mise à jour dulogiciel

• peut également concerner un service comme les systèmes de paiement (attaquesur Target)

• peut concerner des équipements (routeurs cœur de réseau, routeurs wifi,disques durs…)

55 / 128

Page 61: Securité des systemes informatiques

Les principaux logiciels malfaisants en 2016

Source : Rapport Internet Organised Crime Threat Assessment (IOCTA) 2016, Europol, europol.europa.eu/activities-services/main-

reports/internet-organised-crime-threat-assessment-iocta-2016

56 / 128

Page 62: Securité des systemes informatiques

Synthèse de l’état des menaces en 2017

Source : ENISA Threat Landscape Report 2016, enisa.europa.eu/publications/enisa-threat-landscape-report-2016

57 / 128

Page 63: Securité des systemes informatiques

Les attributs de la sécurité

informatique

58 / 128

Page 64: Securité des systemes informatiques

Nécessité d’une approche globale

La sécurité fait souvent l’objet de métaphores

« Le niveau de sécurité d’un système est déterminé par leniveau de sécurité du maillon le plus faible »

59 / 128

Page 65: Securité des systemes informatiques

Pratiques à éviter…

Reportage sur le piratage du système d’information de TV5 Monde (avril 2015)

Des identifiants et mots de passe de leurs comptes sur les réseaux sociaux collés au mur etdiffusés à l’antenne de France 2

60 / 128

Page 66: Securité des systemes informatiques

Pratiques à éviter…

Reportage sur le piratage du système d’information de TV5 Monde (avril 2015)

Des identifiants et mots de passe collés à un écran et diffusés à l’antenne de BFMTV

61 / 128

Page 67: Securité des systemes informatiques

62 / 128

Page 68: Securité des systemes informatiques

Nécessité d’une approche globale

La sécurité doit être abordée dans un contexte global et prendre en compteles aspects suivants :

▷ La sensibilisation des utilisateurs aux questions de sécurité

▷ La sécurité logique• données de l’organisme, applications employées, systèmes d’exploitation

▷ La sécurité des télécommunications :• connectivité internet, réseau local câblé, réseau sans fil, téléphonie

▷ La sécurité physique des infrastructures matérielles :• salles sécurisées, lieux ouverts au public, espaces communs de l’organisme,

postes de travail des personnels, etc.

63 / 128

Page 69: Securité des systemes informatiques

Attributs de la sécurité informatique

Cinq principaux objectifs à garantir :

1 intégrité : s’assurer que les données n’ont pas été altérées durant lacommunication (de manière fortuite ou intentionnelle)

2 confidentialité : rendre l’information inintelligible à d’autres personnesque les seuls acteurs de la transaction

3 non-répudiation : s’assurer qu’aucune des parties d’une transaction nepourra nier son existence ultérieurement

4 authentification : assurer l’identité d’un utilisateur, c’est-à-dire de garantirà chacun des correspondants que son partenaire est bien celui qu’il croitêtre

5 disponibilité

64 / 128

Page 70: Securité des systemes informatiques

Cinq difficultés à résoudre

le message serachiffré

La confidentialité des données…

pour éviter les indiscrets, les espions

un tiers peut lirele message

65 / 128

Page 71: Securité des systemes informatiques

Cinq difficultés à résoudre

L’intégrité des données…

pour éviter les vandales, les pirates

un tiers intercepte etmodifie le message

une empreintedu message

sera calculée

le message serachiffré

La confidentialité des données…

pour éviter les indiscrets, les espions

un tiers peut lirele message

65 / 128

Page 72: Securité des systemes informatiques

Cinq difficultés à résoudre

un tiers se faitpasser pour leserveur

L’identité des interlocuteurs…

pour éviter les imposteurs

un tiers se fait passerpour le client client et serveur

échangeront leurscertificats

L’intégrité des données…

pour éviter les vandales, les pirates

un tiers intercepte etmodifie le message

une empreintedu message

sera calculée

le message serachiffré

La confidentialité des données…

pour éviter les indiscrets, les espions

un tiers peut lirele message

65 / 128

Page 73: Securité des systemes informatiques

Cinq difficultés à résoudre

mémorisationhistorique

pour éviter la répudiation des actions

La paternité des transactions…

un tiers se faitpasser pour leserveur

L’identité des interlocuteurs…

pour éviter les imposteurs

un tiers se fait passerpour le client client et serveur

échangeront leurscertificats

L’intégrité des données…

pour éviter les vandales, les pirates

un tiers intercepte etmodifie le message

une empreintedu message

sera calculée

le message serachiffré

La confidentialité des données…

pour éviter les indiscrets, les espions

un tiers peut lirele message

65 / 128

Page 74: Securité des systemes informatiques

Cinq difficultés à résoudre

mémorisationhistorique

pour éviter la répudiation des actions

La paternité des transactions…

un tiers se faitpasser pour leserveur

L’identité des interlocuteurs…

pour éviter les imposteurs

un tiers se fait passerpour le client client et serveur

échangeront leurscertificats

L’intégrité des données…

pour éviter les vandales, les pirates

un tiers intercepte etmodifie le message

une empreintedu message

sera calculée

le message serachiffré

La confidentialité des données…

pour éviter les indiscrets, les espions

un tiers peut lirele message

65 / 128

Page 75: Securité des systemes informatiques

Les moyens de la sécurité informatique

66 / 128

Page 76: Securité des systemes informatiques

La politique de sécurité du SI

L’objectif est de préciser :

▷ un périmètre d’application : qui est concerné, ou et quand, avec quelsmoyens…

▷ le «modèle de fautes », ou la nature des attaques envisagées

▷ règles définissant les actions autorisées (les droits) ou interdites réaliséespar des hommes sur des hommes ou des biens matériels ou immatériels

▷ actions à entreprendre et personnes à contacter en cas de détection d’uneintrusion

▷ actions de sensibilisation des utilisateurs aux problèmes liés à la sécuritédes SI

67 / 128

Page 77: Securité des systemes informatiques

La politique de sécurité du SI

▷ Un document exposant la politique de sécurité sera établi et approuvé parla Direction Générale

▷ Ce document doit être révisé et adapté périodiquement en prenant encompte• l’efficacité de ses mesures

• le coût et l’impact des contrôles sur l’activité

• les effets des évolutions technologiques

▷ La sécurité est une responsabilité partagée par tous les membres del’équipe de direction• comité de direction multifonction pour assurer un pilotage clair et une visibilité

élevée de l’engagement de la direction

• comité définit les rôles et responsabilités, les méthodes et procédures, approuveet supporte les initiatives de promotion et de communication internes

68 / 128

Page 78: Securité des systemes informatiques

Étapes de mise en place d’une politique SSI

1 Définition de la politique

2 Identification des vulnérabilités• en mode nominal : définir tous les points faibles

• en mode dégradé : une défaillance peut rendre le système plus vulnérable auxintrusions

3 Évaluation des probabilités associées à chacune des menaces

4 Évaluation du coût d’une intrusion réussie

5 Choix des contre-mesures et évaluation de leurs coûts

6 Décision de mise en œuvre, allocation de moyens

7 Définition des modalités de suivi de la politique

A p p r o c h e« r i s q u e »

t r è s c l a s s iq u e …

69 / 128

Page 79: Securité des systemes informatiques

Responsabilités : le RSSI

▷ RSSI : responsable de la sécurité des systèmes d’information (RSSI)• typiquement rattaché à la direction générale (ou “chief risk officer”), ou à la

direction des systèmes d’information

▷ Typiquement chargé des choix et des actions concernant :• la sensibilisation des utilisateurs aux problèmes de sécurité

• la sécurité des réseaux, systèmes, télécommunications, applications

• la sécurité physique en lien avec les systèmes informatiques

• la mise en place de moyens de fonctionnement en mode dégradé / résilience

• la stratégie de sauvegarde des données

• la mise en place du plan de continuité d’activité

70 / 128

Page 80: Securité des systemes informatiques

Principales normes

▷ ISO 27000:2014 : Information technology — Security techniques —Information security management systems - Overview and vocabulary

▷ ISO 27001:2013 : Technologies de l’information — Techniques de sécurité —Systèmes de gestion de sécurité de l’information — Exigences – normecertifiable

▷ ISO 27002:2013 : Code de bonnes pratiques pour la gestion de la sécurité del’information

71 / 128

Page 81: Securité des systemes informatiques

Famille 27000

Source : norme ISO/IEC 27000 :2014

72 / 128

Page 82: Securité des systemes informatiques

Périmètre de la norme ISO 27001

73 / 128

Page 83: Securité des systemes informatiques

Aparté : accès aux normes ISO

▷ La norme iso 27001 est disponible au format pdf depuis l’iso Store pourla modique somme de 110€ (5€ la page…)

▷ Le lecteur averti préférera consulter la norme indienne Informationtechnology - security techniques - information security managementsystems - requirements• identique à la norme iso 27001

• librement téléchargeable depuislaw.resource.org/pub/in/bis/S04/is.iso.iec.27001.2005.pdf

pour “permettre la diffusion libre d’information utile au public”

74 / 128

Page 84: Securité des systemes informatiques

Moyens pour la mise en place

▷ Réalisation politique de sécurité : mise en œuvre cohérente de• moyens physiques

• architecture des bâtiments, systèmes de contrôle d’accès, destructeurs de documents…

• moyens informatiques• techniques d’authentification, de chiffrage, de signature• dispositifs de protection réseau : pare-feu, logiciels antivirus…

• règles d’organisation et procédures

▷ Les moyens doivent être non contradictoires et ne pas constituer unobstacle à la réalisation des fonctions opérationnelles• les procédures trop complexes sont souvent contournées !

▷ Procédures doivent donc être comprises et acceptées par toutes lespersonnes concernées

75 / 128

Page 85: Securité des systemes informatiques

Contournement de barrières

Les moyens doivent être homogènes parrapport aux risques et aux attaquesconsidérés

▷ inutile de chiffrer tous les documentsinformatiques s’ils partent en clair dans lespoubelles…

76 / 128

Page 86: Securité des systemes informatiques

Types de politique de sécurité

▷ Politique nominative• au moins un droit est attribué à une personne intutæ personnae

▷ Politique basée sur les rôles• tous les droits d’une politique sont attribués aux personnes uniquement en

fonction du rôle qu’elles jouent dans le SI (administrateur système, responsablesécurité, chef comptable…)

• une telle politique doit préciser les procédures appliquées pour attribuer unrôle à une personne

▷ Politique discrétionnaire• l’entité qui possède un objet à tous les droits pour propager les droits sur cet

objet

▷ Politique obligatoire• le processus de propagation est limité par des règles générales

77 / 128

Page 87: Securité des systemes informatiques

Principe du moindre privilège

▷ Principe du moindre privilège : donner aux utilisateurs exactement lesdroits dont ils ont besoin, ni plus ni moins

▷ Exemple : un utilisateur ordinaire n’a pas besoin des droits administrateursur son poste de travail• limitera les dégâts si une faille de sécurité dans l’un des logiciels qu’il utilise

devait être exploitée

▷ Exemple : un utilisateur chargé de la communication n’a probablementpas besoin de droits de lecture sur le système comptable de l’entreprise

▷ Mise en œuvre :• droits des sessions utilisateurs sur les postes de travail

• droits d’accès au serveur de fichiers

• parefeux dans les réseau d’entreprise limitent les flux entre segments réseau

78 / 128

Page 88: Securité des systemes informatiques

Les contre-mesures

79 / 128

Page 89: Securité des systemes informatiques

Les principales contre-mesures

Partitionnement Chiffrement

Monitoring Authentification

Gestion desvulnérabilités

Formation

80 / 128

Page 90: Securité des systemes informatiques

Les principales contre-mesures

Partitionnement Chiffrement

Monitoring Authentification

Gestion desvulnérabilités

Formation

81 / 128

Page 91: Securité des systemes informatiques

Partitionnement (réseau, applicatif, privilèges)

État d’esprit à utiliser pour la sécurité : « limiter la confiance »

▷ Compartementaliser : contenir les pertes, éviter les possibilités depropagation

▷ Défense en profondeur : une « ligne Maginot » n’est pas suffisante• partir du principe qu’un attaquant réussira à pénétrer le premier niveau de

défense

▷ Vérifier régulièrement que les composants sont dignes de confiance

82 / 128

Page 92: Securité des systemes informatiques

Partitionnement par limitation de privilège

▷ Ne pas travailler en tant qu’utilisateur avec des privilègesd’administrateur• une application vulnérable sera limitée par les privilèges de l’utilisateur (sauf

faille dans le système d’exploitation)

▷ Exécuter les logiciels sensibles dans des machines virtuelles/conteneurs• une vulnérabilité pourra difficilement échapper à sa machine virtuelle

▷ Bac à sable (“sandbox”) dans iOS

83 / 128

Page 93: Securité des systemes informatiques

Partitionnement réseau : parefeu

parefeu

réseau interne

réseau externe

Le parefeu contrôle les flux entre un réseau A etun réseau B.

Il décide de laisser passer un flux ou le bloquer selon

▷ adresse source

▷ adresse destination

▷ port

▷ contenu (parfois)

Typiquement, sera configuré pour rejeter lestentatives de connexion d’Internet vers une machinedu réseau interne.

84 / 128

Page 94: Securité des systemes informatiques

Partitionnement réseau : réseau privé (VPN)

siège

bureaurégional

bureaurégional

internet

utilisateurs nomades

Propriétés fournies :

▷ confidentialité des communicationsentre bureaux

▷ accès à des ressources du réseauinterne même en nomadisme

▷ peut imposer un filtrage(antivirus…) des connexions réseaudes utilisateurs nomades

85 / 128

Page 95: Securité des systemes informatiques

Partitionnement réseau : VLAN

▷ VLAN : réseau local virtuel

▷ De nombreux VLAN peuvent coexister sur un même commutateur réseau

▷ Les réseaux virtuels ne communiquent pas entre-eux (segmentation)

86 / 128

Page 96: Securité des systemes informatiques

Partitionnement réseau : coupleurs optiques

▷ Coupleur optique / gateway unidirectionnel / datadiode

▷ Dispositif technique qui permet aux données de passerd’un réseau A vers B, mais pas de B vers A

▷ Mise en œuvre classique : un laser dirigé dans un câblede fibre optique avec un lecteur optique d’un côté

87 / 128

Page 97: Securité des systemes informatiques

Fragmentation-Redondance-Dissémination

▷ Technique permettant qu’une intrusion dans une partie du système ne donne accès qu’à desinformations non-significatives

▷ Fragmentation• découper l’information de telle sorte qu’un fragment isolé ne contienne pas d’information sensible

• propriété de confidentialité

▷ Redondance• ajouter de la redondance afin que la modification ou destruction malveillante de fragments

n’empêche pas les accès légitimes

• propriétés d’intégrité et de disponibilité

▷ Dissémination• isoler les fragments individuels, sur différents nœuds

• possibilité d’utiliser un mécanisme de chiffrement à seuil pour disséminer les clés

88 / 128

Page 98: Securité des systemes informatiques

F-R-D pour un serveur de fichiers

d’après Y. Deswarte (1999)

89 / 128

Page 99: Securité des systemes informatiques

En pratique, partitionnement souvent limité !

‘‘In our experience in conducting hundreds of vulnerability assessmentsin the private sector, in no case have we ever found the operationsnetwork, the scada system or energy management system separatedfrom the enterprise network. On average, we see 11 direct connectionsbetween those networks.

– Sean McGurk, Verizon

The Subcommittee on National Security, Homeland Defense, andForeign Operations, May 25, 2011 hearing

90 / 128

Page 100: Securité des systemes informatiques

Contourner le partitionnement

▷ Clés USB personnelles utilisées par opérateurs pour écouter de la musique

• cas probable des centrales d’enrichissement uranium iraniennes

▷ Ordinateurs portables branchés sur le scada pour des tests, diagnostics,optimisations

▷ Téléphones portables branchés en usb pour se charger• illustration : les systèmes informatiques du cockpit d’avions sont régulièrement

infectés par du malware conçu pour viser des téléphones Android, provenantde téléphones en chargement

▷ Accès VPN pour permettre la maintenance à distance

91 / 128

Page 101: Securité des systemes informatiques

Préservatifs USB

Dispositifs conçus pour empêcher la transmissionaccidentelle de données (ou infection par un logicielmalfaisant) lorsqu’on branche un équipement sur un portusb non-sûr pour le charger.

Un cable usb comporte 4 fils, dont 2 pour les données et2 pour l’alimentation électrique (5V). Un « préservatifusb » ne connecte que les fils servant à l’alimentationélectrique.

data + data -

power - power +

Source : syncstop.com

92 / 128

Page 102: Securité des systemes informatiques

Les principales contre-mesures

Partitionnement Chiffrement

Monitoring Authentification

Gestion desvulnérabilités

Formation

93 / 128

Page 103: Securité des systemes informatiques

Monitoring

▷ Surveiller les flux réseau

▷ Centraliser et analyser les logs logiciels

▷ Détection d’anomalie automatisée (“intrusion detection system”) associéeà supervision humaine 24h/24

▷ Problème des faux positifs

▷ La supervision est parfois externalisée• entreprises spécialisées qui connaissent les attaques du moment

▷ Enregistrer les événements pour permettre une analyse forensiquepost-mortem

94 / 128

Page 104: Securité des systemes informatiques

Analyse d’anomalie

▷ Consommation inhabituelle de ressources (cpu, mémoire, disque, volumeréseau)

▷ Machines qui commencent à échanger avec des machines avec lesquelleselles n’ont jamais discuté

▷ Nœuds qui génèrent le trafic le plus important

▷ Connexions avec internet ou avec le réseau business

▷ Tentatives de connexion vers des équipements en utilisant des identifiantspar défaut

▷ Logs d’erreur sur les équipements (alertes logicielles)

▷ Modifications inattendues de fichiers ou de firmware

95 / 128

Page 105: Securité des systemes informatiques

Analyse d’anomalie : règles d’alerte

▷ Si une machine effectue trois tentatives de connexion avec un mauvaismot de passe en moins de 20 secondes, bloquer tout les paquets provenantde cette machine

▷ Limiter à 100 connexions réseau par 1 minute depuis la même adresse

▷ Si tentative de connexion ftp qui ressemble à une vulnérabilité connue,bloquer la requête et enregistrer un log

▷ Si le volume de requêtes web est supérieur à 1000 fois la moyenne horaire,alerter l’administrateur système

▷ Si une machine interne effectue un scan de toutes les adresses du réseaulocal, alerter le responsable sécurité

96 / 128

Page 106: Securité des systemes informatiques

Fonctionnement d’un antivirus

▷ Scanner les fichiers pour identifier des signatures de logiciels malveillantsconnus• base de signatures doit être mis à jour régulièrement

• scan complet périodique du disque + à l’accès

• scan des flux réseau (téléchargements, courriels…) sur un parefeu

▷ Exécuter les logiciels suspects dans un « bac à sable » virtuel pouridentifier des types de comportement suspects• espionner les frappes clavier, lire certains fichiers système sensibles, …

▷ Analyse du comportement des composants logiciels pour identifier desactions suspectes• un outil de dessin qui ouvre une connexion réseau

• modification du code exécutable d’un programme installé

• lecture de certains fichiers système sensibles

97 / 128

Page 107: Securité des systemes informatiques

Limites des antivirus

▷ Un antivirus est très intrusif dans le système• ralentissement important des machines

• délicat à désinstaller car profondément imbriqué dans les « entrailles » de lamachine

▷ Certains antivirus contiennent des vulnérabilités et peuvent permettre àun attaquant de compromettre la machine

▷ La détection par signature est contournée par des virus « polymorphes »• chiffrent ou déguisent leur code exécutable pour que la signature ne soit jamais

détectable

▷ La détection de comportements suspects est limitée par le taux de fauxpositifs• les utilisateurs apprennent vite à cliquer «OK» lorsqu’il les boîtes d’alerte se

multiplient

98 / 128

Page 108: Securité des systemes informatiques

Limites des antivirus

▷ Les attaquants peuvent contourner les outils de détection des principauxantivirus commerciaux• tester/améliorer leurs nouveaux logiciels malveillants

▷ Si les antivirus étaient trop performants et éliminaient toute incitation àdévelopper des nouveaux virus, le marché pour les antivirus deviendraitlimité…

99 / 128

Page 109: Securité des systemes informatiques

Limites des antivirus

100 / 128

Page 110: Securité des systemes informatiques

Les principales contre-mesures

Partitionnement Chiffrement

Monitoring Authentification

Gestion desvulnérabilités

Formation

101 / 128

Page 111: Securité des systemes informatiques

Authentification

▷ Identification : « dire qui on est »

▷ Authentification : « le prouver »• par ce que l’on sait (mot de passe, passphrase, réponse à une question donnée…)

• par ce que l’on est (forme du visage, voix, empreinte rétinienne…)

• par ce que l’on a (carte à puce, téléphone mobile…)

• par ce que l’on sait faire (utiliser un logiciel, répondre à un événementimprévu…)

▷ Utilisation :• permet d’attacher des droits d’accès à un profil, une personne, une machine, ou

encore à un programme

102 / 128

Page 112: Securité des systemes informatiques

Validation en deux étapes

Pour vous authentifier auprès d’un site web, vous rentrezvotre mot de passe et un code de sécurité envoyé survotre téléphone portable

Équivalent utilisé pour connexion à distance à un réseauprivé d’entreprise : les codes générés sur des widgetscomme SecureID™

En anglais : “two-factor authentication”

103 / 128

Page 113: Securité des systemes informatiques

Les principales contre-mesures

Partitionnement Chiffrement

Monitoring Authentification

Gestion desvulnérabilités

Formation

104 / 128

Page 114: Securité des systemes informatiques

Comment se protéger : la cryptographie

▷ Cryptographie : l’ensemble des principes, méthodes ettechniques dont le but est d’appliquer le chiffrement et ledéchiffrement des données

▷ Illustration antique : le chiffre de César• décalage de trois lettres dans l’alphabet sur la gauche

▷ Cryptographie moderne : croisement entre les mathématiquesdiscrètes et l’informatique

Image : machine de chiffrement M-209, flic.kr/p/cA8YCG, licence CC BY-SA

105 / 128

Page 115: Securité des systemes informatiques

Que permet la cryptographie ?

▷ Authentification : preuve que les parties participant à une opérationsont bel et bien les personnes qu’elles disent être

▷ Non-répudiation : preuve qu’une opération a eu lieu, ou qu’un messagea été envoyé ou reçu (ainsi, une des parties à l’opération ne peut nier quel’opération a eu lieu)

▷ Intégrité : les données ou les messages ne peuvent être modifiés sansqu’on le sache

▷ Confidentialité : seul le destinataire désigné ou l’utilisateur autorisépeut accéder aux messages et aux données

▷ La preuve à divulgation nulle de connaissance : on peut prouver quel’on connaît un secret sans le révéler

▷ et autres, dont l’anonymat et la mise en gage

106 / 128

Page 116: Securité des systemes informatiques

Utilisations de la cryptographie

▷ Technologies dans lesquelles la cryptographie est utilisée :• communication sécurisée sur le web (https)• connexions WiFi sécurisées

• téléphonie 3G et 4G

• chiffrement d’un disque dur (BitLocker sur Microsoft Windows, FileVault surMacOS) ou d’un téléphone

• « protection » du contenu sur supports multimédia (dvd, BluRay)• système monétaire Bitcoin et autres systèmes de paiement

107 / 128

Page 117: Securité des systemes informatiques

Types de cryptographie

À clé secrète, employée depuis2000 ans avant JC

Symétrique

À clé publique/privée, connuedepuis 1976

Asymétrique

108 / 128

Page 118: Securité des systemes informatiques

Cryptographie symétrique

Allô + = ZJ3K

Allô+ =ZJ3K

Alice crypte le message avec la clésecrète et envoie le

message crypté à Bob

Bob décrypte le message avec la clé

secrète

109 / 128

Page 119: Securité des systemes informatiques

Cryptographie symétrique

ZJ3K

ZJ3K

Même s’il l’intercepte, Paul ne peut lire le message car il ne connaît pas la clé

Protection contre les écoutes

Problème : on doit faire parvenir la clé secrète à notre interlocuteur

109 / 128

Page 120: Securité des systemes informatiques

Cryptographie asymétrique

▷ Chaque intervenant possède 2 clés :• une clé publique connue de tout le monde

• une clé privée connue que de lui

▷ Les deux clés fonctionnent en paire et sont créées par un logiciel

▷ Propriété «magique » sur laquelle repose la cryptographie :

Ce qui est crypté avec la clé publique d’un individu ne peut être décryptéqu’avec sa clé privée, et inversement

110 / 128

Page 121: Securité des systemes informatiques

Cryptographie asymétrique

▷ Analogie du coffre-fort :• Chiffrement : Alice a choisi un coffre-fort. Elle l’envoie ouvert à

Bob, et en garde la clé. Lorsque Bob veut écrire à Alice, il y déposeson message, ferme le coffre, et le renvoie à Alice. À sa réception,seule Alice peut ouvrir le coffre, puisqu’elle seule en possède la clé, àsupposer le coffre inviolable, et que personne ne puisse retrouver laclé.

• L’identification ou la signature : Alice place un message dans lecoffre, qu’elle ferme avant de l’envoyer à Bob. Si Bob parvient àl’aide de la clé publique d’Alice dont il dispose à ouvrir le coffre c’estque c’est bien celui d’Alice et donc que c’est bien elle qui y a placé lemessage.

111 / 128

Page 122: Securité des systemes informatiques

Cryptographie asymétrique

Allô + = ZJ3K

Clé publique de Bob

ZJ3K

Clé privée de Bob

+ = Allô

Seul Bob peut lire le message. Sa confidentialité en est donc

assurée.

112 / 128

Page 123: Securité des systemes informatiques

Cryptographie asymétrique

Allô + = ZJ3K

Clé privée d’Alice

ZJ3K

Clé publique d’Alice

+ = Allô

Comme Bob est capable de le décrypter avec la clé publique

d’Alice, le message ne peut provenir que d’Alice

Concept de signature électronique : permet de garantir la provenance d’un message

112 / 128

Page 124: Securité des systemes informatiques

Exemple : SSL/TLS

▷ TLS (Transport Layer Security, autrefois appelé SSL) : protocolepermettant de sécuriser la transmission d’informations sur internet

▷ Utilise une combinaison des deux types de chiffrements en tirantavantage des forces de chacun

▷ En plus de chiffrer l’information, TLS valide l’identité du serveur à l’aided’un certificat numérique et assure que l’information n’a pas été modifiéelors de son transport• permet de se prémunir des attaques de type “man in the middle”

113 / 128

Page 125: Securité des systemes informatiques

Certificats HTTPS

Certificat “EV” ou extended validation :l’autorité de certification vérifie que lapersonne demandant le certificat représentebien l’organisme. Le navigateur affichegénéralement le nom de l’organisme.

Certificat “DV” ou domain validation :l’autorité de certification vérifie seulement quela personne demandant le certificat a accès audomaine DNS concerné.

114 / 128

Page 126: Securité des systemes informatiques

Cryptographie : SSL

Le client demandela clef publique

du serveur

Le client demandela clef publique

du serveurLe serveur retourne

sa clef publiqueau client

Le serveur retournesa clef publique

au clientLe client génèreun trousseau

clef publique/clef privéeet envoie sa clefpublique chiffrée

avec la clef publique du serveur

Le client génèreun trousseau

clef publique/clef privéeet envoie sa clefpublique chiffrée

avec la clef publique du serveur

Le serveur déchiffrela clef publiquedu client avecsa clef privée

Le serveur déchiffrela clef publiquedu client avecsa clef privée

Envoi de confirmationau client chiffrée

avec sa clef publique

Envoi de confirmationau client chiffrée

avec sa clef publique

Client(navigateur)

Serveur

Etablissement du dialogue,chacun utilisant la clef

publique de l’autre

Etablissement du dialogue,chacun utilisant la clef

publique de l’autre

115 / 128

Page 127: Securité des systemes informatiques

En savoir plus sur la cryptographie

Web-doc de l’ANSSI : ssi.gouv.fr/particulier/bonnes-pratiques/crypto-le-webdoc/

116 / 128

Page 128: Securité des systemes informatiques

Divers

117 / 128

Page 129: Securité des systemes informatiques

Contraintes spécifiques dans certains secteurs

▷ Opérateurs d’Importance Vitale (OIV) désignés par la loi de programmationmilitaire• ≈ 250 opérateurs désignés (la liste est secret défense)

• des règles de sécurité (organisationnelles & techniques) s’appliquant aux systèmesd’information d’importance vitale (SIIV)

• des modalités d’identification des SIIV et de notification des incidents de sécurité affectantces SIIV

• obligation de recourir à des produits et à des prestataires de détection qualifiés

▷ Les entreprises traitant cartes de paiement : norme Payment Card Industry DataSecurity Standard

▷ Loi informatique et liberté : obligation d’effectuer un Privacy Impact Assessment• règlement européen sur la protection des données, norme ISO 29134

▷ Données de santé : exigences du code de la santé publique

118 / 128

Page 130: Securité des systemes informatiques

Risques liés à l’informatique

119 / 128

Page 131: Securité des systemes informatiques

Contrôle

▷ L’informatisation et les outils développés pour la sécurité informatiquepermettent aux puissants (états, firmes) de contrôler beaucoup d’aspectsde la vie des citoyens• espionnage massif des communications et des intérêts des individus (états,

annonceurs)

• réduction des droits de propriété (livres électroniques vs. livres physiques,copies de sauvegarde de dvd…)

• contrôle de l’accès à l’information (“fake news”)

• flicage/espionnage au travail

▷ La psychologie sociale nous avertit que l’abus d’autorité estquasi-inévitable• conformité sociale (Asch)

• suivre des consignes immorales (Milgram)

• dynamique déviante de groupe (Stanford prisoner experiment)

▷ Comment concevoir des gardes-fous pour prévenir les abus ?120 / 128

Page 132: Securité des systemes informatiques

121 / 128

Page 133: Securité des systemes informatiques

Performances physiques des robots

Vidéo en ligne : youtu.be/rVlhMGQgDkY

122 / 128

Page 134: Securité des systemes informatiques

Performances physiques des robots

Vidéo en ligne : youtu.be/-7xvqQeoA8c

123 / 128

Page 135: Securité des systemes informatiques

Suppression des emplois peu qualifiés

124 / 128

Page 136: Securité des systemes informatiques

Suppression des emplois peu qualifiés

Source : rapport Automatisation, numérisation et emploi du Conseil d’orientation pour l’emploi, 2017

125 / 128

Page 137: Securité des systemes informatiques

Crédits images

▷ Station de traitement eaux usées (transparent 4) : flic.kr/p/9Ej4L4, licence CCBY-NC

▷ Centrifugeuses gaz (transparent 5) : US NRC via flic.kr/p/ok6hyh, licenceCC BY

▷ Chaîne (transparent 8) : flic.kr/p/aUK8Zn, licence CC BY

▷ Zèbres (transparent 26) : Diana Robinson via flic.kr/p/qTfXn7, licence CCBY-NC-ND

126 / 128

Page 138: Securité des systemes informatiques

Pour aller plus loin

▷ Guide de bonnes pratiques de l’informatique rédigée par l’Agence nationalede la sécurité des systèmes d’information (ANSSI) et la CGPME,ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-

linformatique/

▷ La politique de sécurité des systèmes d’information de l’État,ssi.gouv.fr/uploads/IMG/pdf/pssie_anssi.pdf

▷ Article Sécurité informatique pour la gestion des risques - Application auxsystèmes d’information, Techniques de l’Ingénieur

▷ Compléments sur le chiffrement : hsc.fr/ressources/cours/pki/

127 / 128

Page 139: Securité des systemes informatiques

This presentation is distributed under the terms of theCreative Commons Attribution – Share Alike licence

D’autres présentations d’Eric Marsden sur la sécurité :

www.slideshare.net/EricMarsden1/

En savoir plus sur la FonCSI : foncsi.org

128 / 128