View
2
Download
0
Category
Preview:
Citation preview
Les enjeux de la sécurité
informatique
1 École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI
MGR850 – Hiver 2013
Chamseddine Talhi
Responsable du cours
Plan
• Motivations & contexte
• Quelques définitions
• Vulnérabilités – porte d’entrée
• Objectifs de la sécurité
• Analyse de risques
• Contre-mesures: traditionnelle vs. holistique
• Conclusion
2
MGR850 - H13
Chamseddine Talhi, ÉTS
Motivations & Contexte
3
Source http://www.symantec.com/about/news/release/article.jsp?prid=20090910_01
MGR850 - H13
4
Motivations & Contexte
Source http://www.techcentral.ie/19456/cybercrime-booms-as-sophistication-rises
Yosr Jarraya, ÉTS MGR850 - H13
5
…
…
Motivations & Contexte
MGR850 - H13
6
Motivations & Contexte
Yosr Jarraya, ÉTS
Source http://articles.latimes.com/2012/jul/25/business/la-fi-olympics-cybersecurity-20120726
MGR850 - H13
7
Motivations & Contexte
Yosr Jarraya, ÉTS
Source : http://www.zdnet.com/obama-cyber-attack-serious-threat-to-economy-national-security-7000001324/
MGR850 - H13
8
Motivations & Contexte
Yosr Jarraya, ÉTS
Source : http://spectrum.ieee.org/computing/networks/declarations-of-cyberwar/
MGR850 - H13
9
Motivations & Contexte
Yosr Jarraya, ÉTS
Source : http://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.html
http://www.techgeekandmore.com/category/solutions/
MGR850 - H13
• Traditionnellement, – Prouver ses compétences techniques
– Représailles envers un ancien employeur
– …
• Nouveaux motifs – $$$$ – Extorsion (déni de service vers un site populaire)
– $$$$ – Vol (carte de crédit, identité)
– $$$$ – Vol sur une grande échelle (transactions bancaires)
– $$$$ – Distribution de la publicité (SPAM)
– Atteinte à la réputation
– Sécurité nationale (marquer un point sur le plan politique, vol de
secrets militaires, cyberguerre, …)
– Moyen de protestation afin de promouvoir des fins politiques
(Hacktivism).
Motifs des attaques
Motivations & Contexte
Jean-Marc Robert, ÉTS
10
MGR850 - H13
Qu’est ce que la sécurité informatique?
• Sécurité informatique consiste à protéger
– Les renseignements
– Les actifs
• Contre un large éventail de menaces
• Pour
– Assurer la continuité des activités,
– Minimiser les risques d'affaires
– Maximiser le retour sur investissement et les occasions
d'affaires.
Adapté de Norme ISO 17799:2005.
11
Yosr Jarraya, ÉTS MGR850 - H13
• Base de données clients
– Vente et Marketing
• Base de données employés
– Ressources humaines
• Portail web
– Vente directe ou indirecte
• Code source d’une application
– Équipe de développement
• Base de données usagers
– Équipe des TI
Les actifs informationnels représentent l’ensemble des données et des
systèmes d’information nécessaires au bon déroulement d’une entreprise.
12
Qu’est-ce que les actifs informationnels?
Jean-Marc Robert, ÉTS MGR850 - H13
• Vulnérabilité
– Faille dans un actif ou dans une mesure de
sécurité qui peut être exploitée par une menace
(source ISO 27000 )
• NIST – National Vulnerability Database
(http://nvd.nist.gov/)
– CVE (http://cve.mitre.org/) : 53962 vulnérabilités
(8 janvier 2013) de type défauts logiciels.
13
Vulnérabilités
C’est autant de possibilités pour des attaques
Yosr Jarraya, ÉTS MGR850 - H13
14
Vulnérabilités
Yosr Jarraya, ÉTS
• L'annonce d’une vulnérabilité est généralement suivie d'une
période de temps avant qu'un correctif ne soit disponible. C'est
la période du jour zéro.
• Attaque jour zéro (Zero-day)
– Exploite une vulnérabilité annoncée publiquement mais dont le
correctif n’existe pas encore
– Le danger est plus grand lorsqu’une attaque ou un exploit qui cible la
vulnérabilité existe dans la nature.
• Course contre la montre pour détecter et corriger les
vulnérabilités avant qu’elles soient exploitées mal-
intentionnellement
– http://pwn2own.zerodayinitiative.com/rules.html
MGR850 - H13
15
Vulnérabilités
Yosr Jarraya, ÉTS
Source: http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-
Vulnerabilities-Exploits-Patches-and-Security.aspx
MGR850 - H13
Trojan-Downloader: OSX/Flashback.I
• Trojan-Downloader: OSX/Flashback.I
– Category: Malware
– Type: Trojan-Downloader
– Platform: OSX (MAC)
– Navigateur web: Safari
• Mode opératoire
– Véhiculé par des applets Java malveillants qui exploitent la
vulnérabilité CVE-2011-3544.
– Une fois en place, récupère un code depuis un serveur
distant et l’injecte dans Safari.
– Après cela, il peut modifier certaines pages web consultées
par l’utilisateur.
16
Yosr Jarraya, ÉTS MGR850 - H13
17
Yosr Jarraya, ÉTS
Applet vulnerable
téléchargé
Exploit CVE-2011-3544
Autosuppression du malware si certaines
applications sont sur la machine de la victime
Site web compromis Machine MAC OSX Victime
• hardware_UUID
• Machine type
• Kernel Version
• Hardware type
• Logged User status
Site web malicieux
http: / /95.215.63.38/
http: / /95.215.63.38/counter /
%% encoded_data
Binary1, binary2, png
Installation
Téléchargement
Trojan-Downloader: OSX/Flashback.I
SINON
MGR850 - H13
18
Yosr Jarraya, ÉTS
Infection
1er cas: Utilisateur saisi le mot de passe
• Création de 2 fichiers
• Insertion de point d’execution dans Safari
h t t p ://95.215.63.38/stat_d/
Machine MAC OSX Victime Site web malicieux http: / /95.215.63.38/
Stockage local de fichier png
h t t p ://95.215.63.38/stat_n/
succès
échec
Trojan-Downloader: OSX/Flashback.I
MGR850 - H13
19
Yosr Jarraya, ÉTS
Infection
2eme cas : Pas de mot de passe
• Création de 2 fichiers
• Insertion de point d’execution dans toute application de l’utilisateur
h t t p ://95.215.63.38/stat_u/
Machine MAC OSX Victime Site web malicieux http: / /95.215.63.38/
Stockage local de fichier png
succès
Autosuppression du malware si certaines
applications sont sur la machine de la victime
Trojan-Downloader: OSX/Flashback.I
SINON
MGR850 - H13
• Phase d’installation
– Le malware se supprime si l’un des chemins
d'accès suivants existe dans le système: • / Bibliothèque / Little Snitch
• / Developer / Applications / Xcode.app / Contents / MacOS / Xcode
• / Applications / VirusBarrier X6.app
• / Applications / iAntivirus / iAntiVirus.app
• / Applications / avast!. App
• / Applications / ClamXav.app
• / Applications / HTTPScoop.app
• / Applications / paquet Peeper.app
• Phase de téléchargement – Le malware se connecte à l'URL d’un site web malicieux, envoie certaines
données concernant la machine à infecter
• hardware_UUID, machine_architecture, kernel_version, architecture_of_malware_process,
current_hardware_type_of_system, is_user_daemon et le hachage MD5 de hardware_UUID
20
Trojan-Downloader: OSX/Flashback.I
Yosr Jarraya, ÉTS MGR850 - H13
– La réponse est compressée et chiffrée
• Binary 1 :composant principal du malware.
• Binary 2 : filtre qui va charger Binary 1 seulement dans un
processus ciblé pour éviter des problèmes d’incompatibilité et
d’éveiller les soupçons de l'utilisateur.
• Phase d’infection
– Affiche une boite de dialogue pour demander le mot de passe
– L’icone encadré en rouge est une image PNG téléchargée à partir du
serveur distant et qui sera stockée dans la machine victime.
21
Trojan-Downloader: OSX/Flashback.I
Yosr Jarraya, ÉTS MGR850 - H13
• Deux cas se présentent: Saisi de mot de passe ou pas de mot de
passe.
• Cas 1 : Avec mot de passe -> Injecter le binary2 dans Safari
– Création de 2 fichiers :
• /Applications/Safari.app/Contents/Resources/.%decoded_filename
%.png - contains %decoded_binary1_contents% and
%decoded_payload_config%
• /Applications/Safari.app/Contents/Resources/.%decoded_filename
%.xsl - contains %decoded_binary2_contents%
– Création d’un point d’execution en insérant du code dans Safari
– Succès rapporté à l’URL:
• h t t p ://95.215.63.38/stat_d/
– Échec rapporté à l’URL:
• h t t p ://95.215.63.38/stat_n/
22
Trojan-Downloader: OSX/Flashback.I
Yosr Jarraya, ÉTS MGR850 - H13
• Cas 2: Sans mot de passe-> Injecter le binary2 dans toute
application lancée par l’utilisateur infecté
– Vérifie l’existence des chemins suivants dans le systèmes de fichier de
la victime et se supprime en cas d’existence : • /Applications/Microsoft Word.app
• /Applications/Microsoft Office 2008
• /Applications/Microsoft Office 2011
• /Applications/Skype.app
– Creation de 2 fichiers : • ~/Library/Application Support/.%decoded_filename%.tmp - contains
%decoded_binary1_contents% and %decoded_payload_config%
• /Users/Shared/.libgmalloc.dylib - contains %decoded_binary2_contents%
– Creation d’un point d’execution en créant
"~/.MacOSX/environment.plist" avec le code nécessaire
– Succès rapporté à l’URL:
• h t t p : / / 95.215.63.38/stat_u/
23
Trojan-Downloader: OSX/Flashback.I
Yosr Jarraya, ÉTS MGR850 - H13
Yosr Jarraya, ÉTS
24
Source: http://oliviermougin.free.fr/WordB/?p=180
Trojan-Downloader: OSX/Flashback.I
Le risque zéro en matière
de sécurité n’existe pas,
même pour MAC.
MGR850 - H13
• Pour plus de details sur ce malware:
– http://oliviermougin.free.fr/WordB/?p=180
– http://www.f-secure.com/v-descs/trojan-
downloader_osx_flashback_i.shtml
– http://www.macgeneration.com/news/voir/239762/mal
ware-flashback-evolue-a-nouveau
25
Trojan-Downloader: OSX/Flashback.I
Yosr Jarraya, ÉTS MGR850 - H13
Le trio du CID:
En anglais: CIA (Confidentiality, Integrity and Availability)
Confidentialité
Disponibilité
Intégrité
26
Les propriétés
Objectifs de la sécurité
Jean-Marc Robert, ÉTS MGR850 - H13
27
Confidentialité
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
• Menaces
– Surveillance du réseau
– Vol de fichiers
• Fichiers de mots de
passe
• Fichiers de données
– Espionnage
– Ingénierie sociale
• Contre-mesures
– Cryptographie
• Chiffrement
– Contrôle d’accès
• Mot de passe à usage
unique
• Biométrie
– Classification des actifs
– Formation du personnel
Propriété d’une donnée dont la diffusion doit être limitée
aux seules personnes ou entités autorisées.
MGR850 - H13
28
Intégrité
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
Propriété d’une donnée dont la valeur est conforme à
celle définie par son propriétaire.
• Menaces
– Attaques malicieuses
• Virus
• Bombes logiques
• Portes dérobées
– Erreurs humaines
• Contre-mesures – Cryptographie
• Authentification, signature
– Contrôle d’accès
• Mot de passe à usage unique
• Biométrie
– Système de détection d’intrusion
– Formation du personnel
Si cette propriété n’est pas respectée pour certains actifs, cela peut
avoir des impacts sur la confidentialité d’autres actifs.
MGR850 - H13
29
Disponibilité
Objectifs de la sécurité
Jean-Marc Robert, ÉTS
• Menaces
– Attaques malicieuses • Dénis-de-service
– Inondation
– Vulnérabilités logicielles
– Attaques accidentelles • Flashcrowd – Slashdot effect
– Pannes • Environnemental, logiciel,
matériel
• Contre-mesures
– Pare-feu
– Système de détection
d’intrusion
– Formation du personnel
Propriété d'un système informatique capable d'assurer
ses fonctions sans interruption, délai ou dégradation,
au moment même où la sollicitation en est faite.
MGR850 - H13
• Définir les besoins.
– Les actifs à protéger et leurs propriétaires.
• leurs valeurs? leurs criticités? leurs propriétés?
– Les menaces représentant des risques.
• les attaqueurs? leurs moyens? leurs motivations?
– Les objectifs à atteindre.
• Quelles sont les propriétés des actifs à protéger?
• Proposer une solution.
– Les contre-mesures à mettre en place.
• Évaluer les risques résiduels. – Quelles sont les vulnérabilités toujours présentes.
– Leurs impacts sur les objectifs initiaux. 30
Analyse de risques
Jean-Marc Robert, ÉTS MGR850 - H13
Propriétaires
Contre-mesures
Actifs
Risques
Menaces Attaquants
désirant accéder à
représentant à
à
augmentant
désirant minimiser
tenant à
demandant
réduisant
Adapté de ISO/IEC 15408 – Common Criteria. 31
Analyse de risques
Jean-Marc Robert, ÉTS
Schématiquement
MGR850 - H13
Connais ton ennemi et connais-toi toi-même; eussiez-vous
cent guerres à soutenir, cent fois vous serez victorieux.
Si tu ignores ton ennemi et que tu te connais toi-même, tes
chances de perdre et de gagner seront égales.
Si tu ignores à la fois ton ennemi et toi-même,
tu ne compteras tes combats que par tes défaites.
Sun Tzu, approx. 4ième siècle av. JC
32
Analyse de risques Une vieille histoire
Jean-Marc Robert, ÉTS MGR850 - H13
Contre-mesures
• Approche traditionnelle
– Se basant sur le fait que les systèmes informatiques sont
intrinsèquement vulnérables,
– Les responsables des TI doivent mettre en place les
moyens de résister aux diverses menaces afin de protéger
les actifs de leurs entreprises.
• Approche holistique
– Attaquer le problème au source en sécurisant les logiciels
33
Yosr Jarraya, ÉTS MGR850 - H13
34
Approche traditionnelle
Jean-Marc Robert, ÉTS
Veille technologique à la recherche des vulnérabilités. CERT , NIST, Virus Bulletin, Microsoft, Bugtraq…
• Déployer une infrastructure adéquate résistant aux attaques et assurant l’intégralité des actifs (et leurs propriétés).
– Prévention
• Contrôle d’accès
• Mise-à-jour des logiciels
• Pare-feu, systèmes de prévention d’intrusion (SPI)
– Détection
• Antivirus
• Systèmes de détection d’intrusion (SDI)
• Audit
– Réaction
• Pare-feu
Les objectifs techniques de la sécurité
MGR850 - H13
35
Approche traditionnelle
Jean-Marc Robert, ÉTS
… et les façons de les atteindre!
• Protéger le périmètre du réseau.
– Pare-feu, SDI, SPI
• Protéger les serveurs publics.
– Logiciels mis-à-jour régulièrement
– Zones démilitarisées (DMZ)
• Partitionner le réseau interne.
– Contrôle d’accès, pare-feu, SDI, SPI
• Protéger les serveurs internes et les usagers.
– Logiciels mis-à-jour régulièrement
– Antivirus
MGR850 - H13
36
Approche traditionnelle
Jean-Marc Robert, ÉTS
Mais l’enjeu est plus général!
• Il ne faut pas mélanger les besoins et les moyens utilisés
pour répondre à ces besoins.
– Quels sont les acteurs?
– Quels sont les actifs?
– Quels sont les objectifs?
– Quelles sont les règles de gestion à mettre en place?
– Quels sont les moyens opérationnels à mettre en place?
– …
MGR850 - H13
37
Approche traditionnelle
Jean-Marc Robert, ÉTS
L’analyse de risque est à la base de cette activité
• Les politiques de sécurité sont des énoncés généraux dictés par
les cadres supérieurs décrivant le rôle de la sécurité au sein de
l’entreprise afin d’assurer les objectifs d’affaire.
• Pour mettre en œuvre ces politiques, une organisation doit être
mise en place.
– Définition des rôles, des responsabilités et des imputabilités
Politiques de sécurité
MGR850 - H13
38
Approche traditionnelle
Jean-Marc Robert, ÉTS
• NIST –Département du commerce, É.-U. – SP 800-100 Information Security Handbook: A Guide for Managers
– SP 800-97 Draft, Guide to IEEE 802.11i: Robust Security Networks
– SP 800-94 Draft, Guide to Intrusion Detection and Prevention (IDP) Systems
– SP 800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals
– SP 800-41 Guidelines on Firewalls and Firewall Policy
• ISO – ISO/IEC 17799:2005(E) – Code of Practice for Information Security Management.
– ISO/IEC 21287:2002 – System Security Engineering – Capability Maturity Model.
• US-CERT – Software Engineering Institute – Defense in Depth: Foundations for Secure and Resilient IT Enterprises
– Advanced Information Assurance Handbook
• Amazon.ca – 26 111 livres sont proposés en utilisant les mots clé: Information Security
(9 janvier 2012).
• Google.ca – Ce que vous cherchez s’y trouve. Bonne chance!
L’information est disponible – même trop !
MGR850 - H13
39
Approche traditionnelle
Jean-Marc Robert, ÉTS
Mais le problème demeure …
• L’industrie de la sécurité
– En 2010, le chiffre d’affaire du marché mondial de la sécurité du réseau
était estimé a 7,54 milliards de dollars, Firme d’analystes IDC
• Constat
– L’approche traditionnelle sécurisant le périmètre du réseau ne semble pas
adéquate puisque nous avons toujours les mêmes problèmes.
– D’octobre 2011 à février 2012, plus de 50.000 cyber-attaques sur les
réseaux privés et publics ont été signalés au U.S. Department of
Homeland Security, avec 86 de ces attaques ayant lieu sur les réseaux
d'infrastructures essentielles.
• Raison
– La qualité des logiciels.
MGR850 - H13
40
Approche holistique
Jean-Marc Robert, ÉTS
• La sécurité des logiciels est donc critique!
– 50 % des vulnérabilités proviennent des erreurs de
conception.
– 50 % des vulnérabilités proviennent des erreurs
d’implémentation.
• Dépassement de mémoire et d’entier
• Concurrence critique
• Microsoft’s Trustworthy Computing Initiative
– Mémo de Bill Gates en janvier 2002 présente la nouvelle
approche de Microsoft de développer des logiciels sécurisés.
– Microsoft aurait dépensé plus de 300 millions USD.
– The Trusthworthy Computing Security Development
Lifecycle.
MGR850 - H13
41
Approche holistique
Jean-Marc Robert, ÉTS
• Sécurité du logiciel – Robustesse
– Gestion du risque
• Actifs, menaces, objectifs, …
– Cycle de développement du logiciel
• Construire un logiciel robuste face aux
attaques
– Bases de connaissance
• Rassemblement, l'encapsulation et le
partage des connaissances de sécurité
qui peut être utilisé pour fournir une
base solide pour les pratiques de
sécurité des logiciels
MGR850 - H13
42
Approche holistique
Jean-Marc Robert, ÉTS
• Intégration d’activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d’efficacité – subjectif) – Code review, Risk analysis, Penetration testing, Security tests, Abuse
cases, Security requirements, Security operations
Requirements
Use Cases
Architecture
Design
Test
Plans Code
Tests
Test Results
Feedback
Deployment
Adapté de Software Security by McGraw
•Risk analysis
•Abuse cases
•Security req.
•Risk analysis
•Risk-based
security tests
•Code review
(Tools)
•Risk analysis
•Penetration
testing
•Penetration
testing
•Security
operations
Cycle de développement du logiciel
MGR850 - H13
Esprits criminels • Videos
– http://www.washingtonpost.com/investigations/c
yber-search-engine-exposes-
vulnerabilities/2012/06/03/gJQAIK9KCV_story.
html
– http://www.cbsnews.com/video/watch/?id=3538
299n&tag=related;photovideo
– http://www.youtube.com/watch?v=9H07Hxl_ifQ
&feature=related
43
MGR850 - H13
44
Conclusion
• Connaissez-vous vous-même.
– Déterminer les actifs qui doivent être protégés et leurs propriétés.
– Déterminer les objectifs à atteindre.
• Connaissez vos ennemis.
– Déterminer les menaces contre lesquelles ils doivent être protégés.
• Reposez-vous sur les épaules de géants.
– Veille technologique, base de connaissances.
– Principes, guides et règles connues.
Ne jamais dire: ceci est impossible, ils ne peuvent faire cela.
Jean-Marc Robert, ÉTS MGR850 - H13
Recommended