Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA [email protected]...

30
Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA [email protected] Kigali, Octobre 2007

Transcript of Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA [email protected]...

Page 1: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Sécurité sur Internet:

Problèmes,Solutions et

Perspectives

Alain Patrick [email protected]

Kigali, Octobre 2007

Page 2: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

L’ Internet est devenu indispensable à la vie

• Un endroit où plusieurs personnes vivent, travaillent et jouent.

• Une ressource critique pour beaucoup d’affaires

L’Internet permet aux organisations de:

•Faire du commerce électronique

•Fournir un meilleur service à la clientèle

•Collaborer avec des associés

•Réduire les coûts de communications

•Améliorer les communications internes

•Accéder rapidement aux informations nécessaires

Page 3: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les Risques(1)•Tandis que les réseaux informatiques révolutionnent

votre manière de vivre, de jouer et de faire des affaires, les risques que présentent ces réseaux informatiques peuvent être fatales.

•Les attaques réseaux mènent à la perte de :

•argent•temps•produits•réputation•vies•Information sensible•Confiance en e-commerce

•Confiance et sécurité sont très importantes pour la société de l’information et en particulier sur l’Internet

Page 4: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les Risques(2)

Source: http://www.cert.org/stats/certstats.html

Page 5: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les Risques(3)

Source : 2005 CSI/FBI Computer crime and security survey

http://gocsi.com

Page 6: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Sécurité du réseau et de l’information

• La sécurité du réseau et de l’information peut être comprise comme la capacité d’un système d’information à résister à un niveau donné de confiance à des évènements accidentels ou d’actions malveillantes. De tels évènements ou actions peuvent compromettre la disponibilité, l’authenticité, l’intégrité et la confidentialité de l'information stockée ou transmise comme celles des services offerts via l’intermédiaire de ces systèmes et réseaux.

• Certaines actions de cybercriminalité sont à l'origine des cybercrimes comme le spoofing, phishing, vol de la propriété intellectuelle, vol de carte de crédit, stockage de matériel pornographique, la distribution illégale des matériaux racistes, spamming.....

Page 7: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Spyware(1)

•La large catégorie de logiciel malveillant conçu pour intercepter ou prendre le contrôle partiel d’une machine sans avoir le consentement du propriétaire de la machine ou de l’utilisateur légitime.

•Distribué par divers moyens:

•Téléchargement volontaire en raison d'accords de licence trompeurs

•Incorporé dans un logiciel convoité

•Exploite divers trous de sécurité

•Distribué parfois par des vers

Page 8: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Spyware(2)

•Vol d’information personnelle (y compris les informations financières telle que le numéro de carte de crédit ); surveillance de l’activité Web pour la vente ou la redirection des requêtes HTTP vers des sites spécifiques.

•Menace de sécurité sérieuse pour les utilisateurs

Page 9: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Phishing

Forme de vol d’identité et d'information critique à croissance rapide

•Les solutions techniques simples ne fonctionneront pas. Il y a une dimension humaine au problème

-paypal.com contre paypa1.com

-login.paypal.com contre login-paypal.com

•Un site peut fournir les références cryptographiques mais les utilisateurs doivent les vérifier correctement

Page 10: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les services de sécurité(1)

•Confidentialité: Exige que l’information dans un système informatique et l’information transmise soient uniquement accessibles en lecture pour les parties autorisées. Ce type d’accès inclut des formes d’impression, d’affichage et autres formes de renseignement incluant la révélation de l’existence de l'information.

•Authentification: Exige que l’origine d’un message soit correctement identifiée avec l’assurance que l’identité n’est pas fausse.

Page 11: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les services de sécurité (2)

•Intégrité : exige que les données d'un système informatique et l’information transmise soient uniquement modifiables par les parties autorisées. Les modifications incluant, l’écriture, le changement de statut, la suppression, la création, le retard ou la retransmission de messages transmits.

•Non répudiation: Exige que ni l’expéditeur, ni le récepteur d’un message ne puisse nier la transmission

Page 12: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les services de Sécurité (3)

•Contrôle d’accès: exige que l’accès aux ressources et information soit contrôlé par le système cible.

•Disponibilité: exige que les données des systèmes informatiques soient disponibles aux parties autorisées quand cela est nécessaire.

Page 13: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Les services de sécurité (3)

• Il n’y a aucun mécanisme qui fournit les services de sécurité énumérés ci-dessus.

• Cependant, les techniques de cryptographique sont à la base de la plupart des mécanismes de sécurité.

• Chiffrement Conventionnel (Chiffrement symétrique)

• Chiffrement à clé publique (chiffrement asymétrique)

Page 14: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Le Problème(1)Dans la course précipitée pour bénéficier des services internet, les organismes négligent souvent les risques significatifs de sécurité.

•Les pratiques d’ingénierie et les technologies utilisées par les fournisseurs ne produisent pas les systèmes qui sont immunisés contre les attaques.

•Les réseaux et les administrateurs systèmes n’ont pas les compétences et les pratiques pour se défendre contre les attaques et réduire au minimum les dommages.

•Il y a un mouvement continue vers les systèmes complexes client/serveur et aux configurations hétérogènes avec les systèmes de gestion distribuée.

Page 15: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Le Problème(2)

•Il y a peu d’évidence d’amélioration de sécurité dans la plupart des produits; de nouvelles vulnérabilités sont découvertes régulièrement.

•Les solutions complètes de sécurité manquent; les outils classiques se chargent seulement de certaines parties du problème.

•Les utilisateurs ne sont pas éduqués

Page 16: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Le Problème(3)

Source:http://www.cert.org/stats/cert_stats.html

Vulnérabilités/Année

0

2000

4000

6000

8000

10000

Page 17: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Le Problème(4)

Les Intrus

•Améliorent leurs compétences techniques

•Font plus de dégâts avec l'automatisation

•Exploitent l' interconnexion de réseaux et se déplacent facilement à travers l’infrastructure

•Deviennent plus habiles dans la dissimulation de leurs comportements

Page 18: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Le Problème(5)

Haut

Baspassword guessing

self-replicating code

password cracking

exploiting known vulnerabilities

disabling audits

back doors

hijacking sessions

sweepers

sniffers

packet spoofing

GUIautomated probes/scans

denial of service

www attacks

outils

Intrus

IntruderKnowledge

AttackSophistication

“stealth” / advanced scanning techniques

burglaries

network mgmt. diagnostics

DDOS attacks

Sophistication des attaques vs. les compétences techniques des intrus

Page 19: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Le Problème(6)

• les politiques et lois dans le cyber-espace sont limités à la juridiction des états

• Détecter et poursuivre la plupart des offenses sur le réseau global constituent des défis

• Manque de collaborations entre les différents acteurs impliqués.

• Gouvernements, secteurs privés, société civile, organisations internationales, etc...

•Difficultés dans l’harmonisation de la loi et de la politique de manière globale

• Protection d’intimité en Europe contre la liberté aux USA - OPT-in vs. OPT-out

Page 20: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

• Depuis 1990, l’Afrique connait sa révolution Internet avec la pénétration des services Internet

• Des infrastructures généralement déployées sans mesures de sécurité adéquates.

•Avec des ressources très limitées et dans un environnement difficile

• Ressources systèmes, connexions, etc...• OS, outils et applications dépassés• Difficultés avec les licences et la gestion des mises à

jour

Situation en AFRIQUE(1)

Page 21: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

• Difficultés d’obtention d’information sur la sécurité - Absence de CERT(Computer Emergency Response Team)

•Qualifications insuffisantes des techniciens d'une manière générale, et en particulier sur les aspects de sécurité.

• Absence des procédures et des stratégies de sécurité

•Budget de sécurité informatique très petit ou inexistant dans la plupart des organisations.

• Utilisateurs non éduqués

Situation en Afrique(2)

Page 22: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

• Manque de législation et de lois sur la cybersecurité et les cybercrimes

•Absence de collaboration entre les différents acteurs• Gouvernement, secteur privé, société civile, etc...

•Ces Infrastructures font également face à des incidents de sécurité et à des cybercrimes

• Complices des attaques ( zombies, amplificateurs)• Proies souvent faciles• Importants dommages subis• Les incidents de sécurité généralement mal contrôlés et gérés

Situation en Afrique(3)

Page 23: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Solutions

Bâtir un Environnement de Confiance pour un E-Live.

Page 24: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

L’interaction entre les menaces et les mesures de protection posent divers problèmes aux spécialistes: l’intrus doit trouver, mais simplement l'une

des nombreuses vulnérabilités possibles afin de réussir. Le spécialiste en sécurité doit

développer des contre-mesures pour toutes.

Page 25: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Solutions Légales et administratives(1)

•Renforcer le cadre législatif contre la cybercriminalité au niveau national, régional et international

•L’exemple du Conseil de L’Europe - Convention sur la cybercriminalité

-http://conventions.coe.int/Treaty/FR/Treaties/Html/185.htm

- Protocole additionnel à la Convention sur la cybercriminalité, au sujet de la pénalisation des actes racistes et à caractère xénophobe commis par les systèmes informatiques

-http://conventions.coe.int/Treaty/FR/Treaties/Html/189.htm

•Encourager la collaboration internationale dans la détection et la poursuite de la cybercriminalité

Page 26: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Solutions Légales et administratives (2)

•Développer les capacités et les qualifications des entités de sécurité nationales (polices, avocats, juges,notaires etc...) pour leur permettre de relever les défis crées par la cybercriminalité.

•Développer des plans et stratégies nationaux de sécurité de l’information

•Créer des CERT et diffuser les informations de sécurité ( vulnérabilités, solutions, etc....)

•Encourager la participation dans les organismes visant l'amélioration de l’environnement de confiance électronique

•AfriPKI, etc....

Page 27: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Solutions Légales et administratives(3)

•Augmenter la collaboration entre tous les acteurs dans le combat contre la cybercriminalité (gouvernement, secteur privé, société civile, organisations internationales....)

•Développer un programme d’étude plus approprié dans les cycles de formation en Informatique

•Former plus d’ingénieurs informaticiens et surtout des spécialistes en sécurité

•Eduquer les utilisateurs

Page 28: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Solutions Techniques

•Encourager et favoriser une meilleure ingénierie et industrie des logiciels

• Meilleures pratiques en matière de programmation• Meilleures pratiques de mise à jour

•IETF, ITU, W3C,... doivent continuer à rechercher des protocoles sécurisés ainsi que des mécanismes de sécurité plus adaptés

•L’industrie doit développer de meilleurs outils de sécurité pour fournir les services de sécurité:

• Confidentialité, Authentification, Intégrité, Non répudiation, Contrôle d’accès, Disponibilité

Page 29: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Perspectives

• La situation de la sécurité de l’information et du réseau n'est pas globalement intéressante.

•Le cas de notre continent l'est encore moins•Des efforts sont faits mais beaucoup reste à faire.

•Pour créer un cadre favorable.

•Pour renforcer les compétences techniques.

•Pour sensibiliser et instruire davantage

•Il exige plus de ressources et d’initiatives.

Page 30: Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net aalain@trstech.net Kigali, Octobre 2007.

Conclusions•La sécurité de l’information et du réseau est un

système complexe, qui doit être conçue, maintenue, évaluée et améliorée de façon continue.

•Certains cybercrimes tels que la fraude, le vol d'intimité sont de vieux crimes commis de nouvelles manières.

•L’Internet a une manière de magnifier le bon et le mauvais côté de notre société.

•Une partie du travail consiste à trouver de nouvelles réponses à de vieux crimes.