01/02/08 1
ENSSAT LSI3
chapitre 1
Cours Sécurité des réseaux et des systèmes informatiques
01/02/08 2
Plan du cours (1/2)Introduction à la cryptologie (P.Strillou, 10h, P19 P20 P21 P22 )
1. Cryptographie à clé privée : généralités, systèmes simples, standards (DES, AES)
2. Fondement arithmétiques de la cryptographie3. Cryptographie à clé publique : généralité et système RSA.4. Advanced Encryption Standard (AES) : chiffrage et déchiffrage,
cadencement des clés.Sécurité des systèmes d’information : Les enjeux de la sécurité dans
l’usage des TIC.
01/02/08 3
Plan du cours (2/2)Modalités de mise en œuvre d’une politique de prévention et de sécurisation
1. Mise en œuvre d’une politique de prévention : méthodologie, organisations compétentes, diminuer les risques (chartes, gestion des mots de passe).(J-P.Leguine )
2. Sécurisation des infrastructures de communication (moyens d’accès, VLAN, filtrage de paquets IP, métrologie, cas du sans fil et du nomadisme.(J-P.Leguine )
3. Aspects juridiques généraux : Internet et la loi, la protection des personnes et des données (J-P.Leguine ).
4. Sécurisation des systèmes UNIX (installation, gestion de comptes, authentification, protection des fichiers, sécurisation des accès réseau, outils, recommandations) (V.Carpier ).
Outils d’authentification, de sécurisation des systèmes et des applications1. Introduction aux architectures Web d’authentification commune pour un ensemble
d’application (Single Sign-On)(O.Salaün).2. Des outils : les protocoles SSH, SSL, S/MIME; les tunnels VPN et SSH, les
infrastructures de gestion des clés (IGC)(F.Guilleux ).3. Les signatures : principe, mise en œuvre et fondements juridiques(F.Guilleux).
Evaluation1. DS (P.Strillou, 1h).2. DS (V.Barreaud, 1h).
01/02/08 4
Place du module dans la formation LSI
• LSI1: – UC systèmes d’exploitation
• LSI2: – UC réseaux, répartition et communication– UC systèmes d’exploitation temps réel
• LSI3:– UC génie des réseaux
XML, SR&PI, SR&SI, Conférences
01/02/08 5
Références
• Organisations gouvernementales– Direction centrale de la sécurité des systèmes
d’information (DCSSI)– Centre de la formation à la sécurité des
systèmes d’information (CFSSI)
• Associations Privées– Club de la Sécurité de l'Information Français – Observatoire de la Sécurité des Systèmes
d'Information et des Réseaux
01/02/08 6
Chapitre 1:
Sécurité des systèmes d’information : les enjeux de la sécurité dans l’usage des TIC
01/02/08 7
La SSI, pourquoi?
• Opérationnel– Réseaux et SI: outils critiques
• Juridique– Imposé par la loi
• Stratégique– Concurrence, Confiance, Interaction avec
partenaires
• Logistique– Gestion des risques
01/02/08 8
Que protéger?
• Informations classées « défense »:– Protégées au niveau national– Confiées à la France par des organismes ou pays– Relatives aux systèmes d’armements ou d’opérations
• Informations confidentielles du service public et des droits du citoyen
• Des équipements et des informations vitales au système
Règle: protection complète et protection en couches (protection de la protection)
01/02/08 9
Organisation de la SSI en France
Dépendent aussi du SGDN:
• CIEEMG (étude sur les exportations de matériels de guerre/Technologies et transferts sensibles)
• CIPRS (Points et réseaux sensibles/Sécurité de l’état)
01/02/08 10
Les acteurs
• Le premier Ministre• Les instances ministérielles (SGDN)
– La direction centrale de la SSI– La commission interministérielle pour la SSI
• Les ministres : le Haut fonctionnaire de la défense– Le fonctionnaire de SSI– Les autorités qualifiées en SSI– Les agents qualifiés en SSI
• Les entreprises : les responsables SSI• Les citoyens, le parlement
01/02/08 11
Architecture de responsabilité
SGDN/DCSSIprotection/défense
régulation/compétences scientifiques et techniques
Ministèrede la Justice
Ministère de la Défense Nationale
Ministère de l’Industrie,
de l’Economie et des Finances
Ministère de la FonctionPublique
CybercriminalitéRépression
AttaqueDéfense
Intelligence économiquePolitique industrielle
Innovation technologique
Administration électronique
01/02/08 12
Définitions
Menace?• Interne (70%) ou externe• Accidentelle ou intentionnelle• Active ou passive• Physique ou logique
Sur quoi? Les actifs (Biens)
Menace / Risque / Vulnérabilité /Attaque
01/02/08 13
Origines de la menaceUne connaissance critique pour établir une
politique de sécurité. (Fiche d’Expression Rationnelle des Objectifs de Sécurité)
• Accidents (divulgation, perte, incendie, …)• Menaces intentionnelles (malicieuse)
– Stratégique – Idéologique – Terroriste – Cupide – Ludique – Vengeur
01/02/08 14
Catégories de menace
• Espionnage
• Perturbation
• Vol
• Fraude Physique
• Chantage
• Sabotage
• Accès illégitimes
01/02/08 15
Sécuriser l’information, c’est quoi?• Sécuriser des opérations sur l’information numérique qui
protègent et défendent cette information et les systèmes en assurant leur:– Confidentialité– Intégrité– Disponibilité– Authentification– Non-Répudiation.
• Se donner les moyens de restaurer les systèmes d’information en y incorporant:– La protection de l’information– La détection des agresseurs– Des capacités de réaction.
01/02/08 16
La confidentialitéPropriété d’une information qui n’est pas
disponible, ni divulguée aux personnes, entités ou processus non autorisés.
Protection contre une divulgation non autorisée
ou
Personne d’autre que vous et l’expéditeur ne connaissent l’information
01/02/08 17
L’intégritéPropriété assurant que ces données n’ont pas été
modifiées ou détruites de façon non autorisée.
Garantie que le système et l’information traitée ne sont modifiées que par une action volontaire et légitime.
Protection contre une modification non autoriséeou
Personne ne peut entendre/recevoir exactement ce que vous dites/envoyez
01/02/08 18
La disponibilitéPrévention d’un déni non autorisé d’accès à
l’information ou à des ressources.
Garantie d’accès pour les seuls utilisateurs autorisés
ou
Garantie d’accès à un service informatique quand on le demande
01/02/08 19
Authentification (1/2)L’authentification a pour but de vérifier l’identité
dont une entité se réclame. Elle est généralement précédée d’une
identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté.
Preuve de l’identité de l’origineOu
Connaître de manière sûre celui qui a envoyé le message.
01/02/08 20
Authentification (2/2)4 classes de conventions1. Un secret que la personne partage et peut
transcrire ou énoncer (mdp, pin, formule magique)
2. Un objet que la personne possède comme un bien matériel (clef, carte, télécommande)
3. Un caractère de la personne / biométrie (empreinte palmaire, digitale, rétinienne, auriculaire, ADN)
4. Un savoir faire de la personne (signature manuscrite, signal de voix)
01/02/08 21
La non-répudiation• La répudiation est le fait de nier avoir
participé à des échanges• Deux formes de non-répudiation:
– La non-répudiation de l’origine garantit que l’émetteur d’informations ne peut nier impunément avoir envoyé des informations.
– La non-répudiation de la réception garantit que le destinataire d’informations ne peut nier impunément avoir reçu des informations.
Notion juridique d’imputabilité
01/02/08 22
La notion de risque
• La probabilité qu’une menace particulière, utilisant une attaque spécifique puisse exploiter une vulnérabilité particulière d’un système résultant en une conséquence non désirée.
• Processus d’évaluation du risque:– Identifier les biens– Déterminer les vulnérabilités– Exprimer la probabilité d’exploitation– Calculer la perte attendue
01/02/08 23
La nouvelle donne
• Systèmes d’information : Centres nerveux des nations et des entreprises←Intégration de l’informatique et des
télécommunications←Numérisation, dématérialisation des
procédures
→Complexité croissante des systèmes→Multiplication des points de vulnérabilité
01/02/08 24
Vulnérabilité du SI à l’écoute passive
Branchement
Interception Fréquence Hertz
Interception satellite
01/02/08 25
Vulnérabilité du SI à l’intrusionPorte dérobée
Connexion
Vol de session
Télémaintenance
Interception GSM
Déguisement
01/02/08 26
Vulnérabilité du SI à la prise de contrôleCheval de TroieVirusZombies
01/02/08 27
Causes de la vulnérabilité
1. Fossé entre ce que l’on attends d’un système et ce qu’il peut faire
2. Réglementation toujours en retard sur la technique
3. Les individus sont … individuels
01/02/08 28
Une vulnérabilité dans le temps (securite.org)
Découverte dela faille
(Re)découvertede la faille
ou fuite
Publication Correctifdisponible
Correctifappliqué
“Victimes”
Temps
Correctif“complet”
Exploit
“Proof of Concept” Automatisation
01/02/08 29
Vingt vulnérabilités très répanduesSANS Institut www.sans.org/top20
• Operating Systems– W1. Internet Explorer– W2. Windows Libraries– W3. Microsoft Office– W4. Windows Services– W5. Windows Configuration Weaknesses– M1. Mac OS X– U1. UNIX Configuration Weaknesses
• Cross-Platform Applications– C1 Web Applications– C2. Database Software– C3. P2P File Sharing Applications– C4 Instant Messaging– C5. Media Players– C6. DNS Servers– C7. Backup Software– C8. Security, Enterprise, and Directory Management Servers
• Network Devices– N1. VoIP Servers and Phones– N2. Network and Other Devices Common Configuration Weaknesses
• Security Policy and Personnel– H1. Excessive User Rights and Unauthorized Devices– H2. Users (Phishing/Spear Phishing)
• Special Section– Z1. Zero Day Attacks and Prevention Strategies
•
01/02/08 30
Les vulnérabilités
• Internet Risk Summary
http://www.iss.net• Centre d’Expertise gouvernemental de Réponse
et de Traitement des Attaques informatiques.
http://www.certa.ssi.gouv.fr/site/2007index.html• …
01/02/08 31
Agresseurs
Malicieux Non-Malicieux
AccidentsVictime d’attaque
Méconnaissance
Interne Externe
EmployéAncien employé
Prestataire Juvénile Pirate Organisation
01/02/08 32
Attaquants?
• Pirates– Hacker – Cracker
• Fraudeurs– Interne– Externe
• Espions– Etat– Privés
• Terroristes (moins courant)
01/02/08 33
Armes?
• Aptitudes? Compétences techniques– Faible : dénaturer/abimer/perturber, observer/fouiller
physiquement, divulguer– Moyenne : chercher, écouter, surveiller, abuser– Forte : modifier, fabriquer un ver/une bombe
• Ressources?– Moyens de calcul– Système dupliqué– Contacts
01/02/08 34
Cibles?physiques matérielles logiques finales
Comptes administrations
Systèmes logiciels
Comptes application
Mots de passe
Annuaires
Ressourcesfinancières
Systèmesmilitaires
Actions politiques
informations
01/02/08 35
Quelles actions vers quelles cibles?
• Des « coups d’épingle » des hackers … aux attaques structurées du cyber-terrorisme
• Des actions malveillantes isolées … ou coordonnées
• Des attaques de moyens informatiques … à d’autres moyens
• Des effets isolés… aux effets domino.
01/02/08 36
Techniques d’attaques physiques
Accès physique aux installations
• Interception (rayonnements, TEMPEST)
• Brouillage (rends le SI innopérant)
• Ecoute (Dérivation, Chiffrement)
• Balayage (Test d’opportunité)
• Piégeage (en phase de conception)
• Destruction
01/02/08 37
Techniques d’attaques logiques (1/4)• Fouille
De la mémoire et de supports libérés
• Canal Caché (haut niveau)De stockage / temporel / de raisonnement / de
fabrication
• DéguisementBiométrie / Authentification numérique /
Authentification logique (question)
• MystificationSimulation d’une machine (~phishing)
01/02/08 38
• RejeuVariante du déguisement
• SubstitutionEcoute + Interception et d’un accès distant
• Faufilement… passer les barrières du métro derrière
quelqu’un
• SaturationDéni de service
Techniques d’attaques logiques (2/4)
01/02/08 39
• Cheval de Troieconception, complicité et attractivité
• SalamiRécupération d’informations parcellaires puis
regroupement / petites sommes d’argents
• TrappePar le développeur (intentionnel ou oubli)
• Bombedéveloppeur
Techniques d’attaques logiques (3/4)
01/02/08 40
• VirusReproduction, nuisible, combinable avec une autre
attaque• Ver
Collecte d’information, se déplace• Asynchronisme
Exploitation des espaces mémoires de processus en veille ou en exécution
• SouterrainDescendre d’un degré d’abstraction par rapport à la
protection• Cryptanalyse
Déchiffrement
Techniques d’attaques logiques (4/4)
01/02/08 41
Les technologies de la SSI
Chiffrement des données
Protection du copyright
Filtrage d’adresseet de site web
cryptographie
licences
authentification
Carte à puce
Détection d’intrusion
Analyse de traces
antivirusScanner de vulnérabilité
Garde barrière
Réseaux privés virtuels
Chiffrement des messages
Contrôle de contenus
INFRASTRUCTURES
SERVICESCONTENUS