View
1.432
Download
0
Category
Preview:
Citation preview
Samedis du LibreMédiathèque
MunicipaleMérignac
le 16-11-2013
à MERIGNAC avec l'ABUL
Sécuritéet
Informatique
Sécurité et Informatique
● L'insécurité : une réalité aux multiples facettes● Définitions et rappels sur les risques
● Quelles protections, pour quels risques ?● Mesures adaptées aux risques supports● Mesures adaptées aux risques essentiels
● Ces données qui nous échappent● La multiplication des objets numériques● Le bon sens, entre prudence et paranoïa
● Florilège d'outils en lien avec la protection● Questions / Réponses
L'insécurité Informatique
La sécurité absolue n'existe dans aucun domaine de la vie réelle.
Pourquoi l'informatique ferait-elle exception ?
Quel que soit le domaine, on ne parle que de :
Gestion (ou réduction) des risques
Mesures de protections
Principe de précaution
en gardant à l'esprit que la perfection n'existe pas, et qu'il faut toujours envisager les conséquences d'un événement redouté avant qu'il ne survienne.
Rappels sur les risques
Les données numériques sont immatérielles,pour les manipuler, on les met sur un support.
● Il existe donc deux types de risques très différents :● Les risques essentiels :
Ce sont les risques que courent les données quelque soit le support sur lequel elles se trouvent.
● Les risques supports :Ce sont les risques que la nature même du support fait courir aux données qu'il contient.
Rappels sur les risques
● Les risques essentiels :
● La divulgation :Une information peut être portée à la connaissance d'un public qui n'avait pas à la connaître.Confidentialité
● L'altération (ou la dégradation) :Lorsqu'on la récupère, une partie de l'informationn'est plus la même qu'au moment de son stockage.Intégrité
Rappels sur les risques
● Les risques essentiels (suite) :
● La disparition :La donnée ne peut pas être récupérée au moment et à l'endroit où vous souhaitez le faire.Disponibilité
● La suspicion (force de preuve) :Il n'existe pas de moyen pour démontrer qu'uneinformation est bien celle qu'elle prétend être.Auditabilité
Rappels sur les risques
● Les risques supports :puisqu'il parait qu'une image vaut mille mots ...
Rappels sur les risques
● Face à un risque donné, chaque support sera plus ou moins sensible ...
Risque
Support
Quelles protections, pour quels risques
● Évaluation des risques : approche par les Menaces
Exemples de menaces :● Une erreur, action non réfléchie d'un utilisateur insouciant
ou peu attentif.● La malveillance humaine, une personne agit à votre insu
pour vous causer volontairement du tort.● Un programme malveillant (malware), logiciel conçu
spécialement à des fins illicites.● Une panne, les matériels électroniques ont une durée de vie
limitée.● Un sinistre, vol, incendie, dégât des eaux, panne
irrémédiable, etc.
Quelles protections, pour quels risques
● Évaluation des risques : approche par les Menaces
Il faut imaginer les événements redoutés en terme de scénarios de menaces, et pour chacune, évaluer :● sa probabilité (Potentialité) qui influe sur la
fréquence des mesures de protection,● son impact (Gravité) qui influe sur
l'importance accordée aux mesures de protection
Quelles protections, pour quels risques
On obtient au final un tableau qui indique :
● quoi faire pour se protéger des menaces dont on veux se protéger,
● quand le faire pour que ce soit suffisamment efficace sans être trop coûteux.
L'étape suivante consiste à déterminer les moyens à mettre en œuvre pour obtenir un niveau de protection choisi avec pragmatisme.
Mesures adaptées aux risques supports
Les risques supports les plus courants :● Panne matérielle entraînant la perte des informations● Destruction irrémédiable d'un support (sinistre)● Disparition du support d'informations (perte ou vol)
mais aussi ...● Destruction logicielle des informations
(effacement par erreur ou malveillance, etc.)● Perte d'accès aux informations
(mot de passe perdu, ransomware, etc.)
Mesures adaptées aux risques supports
Toutes les mesures de protection sont basées sur :● la multiplicité des exemplaires de l'information
(On ne peut pas tous les perdre en même temps ...)● la localisation différente des divers exemplaires
(... surtout s'ils sont géographiquement dispersés ...)● la nature variée des supports utilisés pour chacun
(... et ne sont pas sensible aux mêmes risques.)
Dit autrement :
"Ne pas mettre tous ses œufs dans le même panier"
Mesures adaptées aux risques supports
Choix suivant le type d'informations :
● Informations pouvant être régénéréesSystème d'exploitation, applications, informations publiques, informations dupliquéesMinimiser le temps de régénération● Disposer d'archives et de copies à jour
● Informations ne pouvant pas être régénérées "Mémoire numérique" (photos, vidéos, etc.), archives documentaires (courriels), travail en coursProtéger à la hauteur de la valeur de la perte● Multiplier les copies et varier les supports
Mesures adaptées aux risques essentiels
Les risques essentiels les plus courants :● Divulgation d'un information personnelle ou secrète
mot de passe, clé d'accès, numéro de CB, etc.● Altération ou perte d'une information importante
clé de licence, composant du système, etc.● Installation d'un composant malintentionné
virus, trojan, keylogger, autres malware
Et pour se protéger, seulement deux armes :● La prudence, jusqu'à la méfiance s'il le faut● Le bon sens ... et quelques bons conseils
Les données qui nous échappent
● Sans données en ligne (le Cloud), les risques sont majoritairement des risques supports.
● Le Cloud est une nouvelle solution pour palier à ces risques anciens
● Mais le Cloud est porteur de façon intrinsèque de risques nouveaux
● Les nouveaux risques sont principalement des risques essentiels
Les données qui nous échappent
Constat de ce qui se passe dans le Grand Public :● Le glissement vers des usages Cloud est massif
Pressés de toutes part, les utilisateurs confient de plus en plus de choses aux nouveaux services si pratiques.
● Le changement de risque n’est pas bien perçu Les risques nouveaux ne sont pas évoqués dans le discours marketing des fournisseurs de services Cloud.
● Les habitudes de protection ne changent pasLes utilisateurs conservent des habitudes qui sont maintenant inadaptées aux nouveaux risques.
Les données qui nous échappent
Et un détail qui n’en est finalement pas vraiment un :
Les nouveaux objets d’accès aux ressources sont fondamentalement différents des anciens "PC"
● De plus en plus mobiles● De moins en moins ouverts● De plus en plus propriétaires et spécifiques● De moins en moins "hackables" (bidouillables)
Le PC cède la place aux :
Terminaux de Consommation de Loisirs Numériques
Le bon sens, entre prudence et paranoïa
Le Cloud n’est pas en lui même bon ou mauvais ...... mais on peut en faire un bon ou un mauvais usage
Il faut développer de nouveaux réflexes :● Bien juger du caractère privé de ses informations● Savoir protéger celles qui doivent rester secrètes● Développer une saine méfiance vis à vis des services "gratuits",
"fait pour vous" ou "pour votre bien"● Comprendre les modèles économique de ces sociétés● Ne rien considérer comme inévitable et savoir dire non● Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et
bien mesurer sa propre dépendance vis à vis d’eux
Florilège d'outils de protection
Quelques solutions de sauvegardes locales
Par fichiers :● Cobian Backup, Toucan● BackUpPC, Unison, Arena BackUp, Fullsync
Par Images disques :● DriveImageXML, Norton Ghost, Acronis● CloneZilla, outils Gnu/Linux (Partclone, etc.)● Nouva Linux BackUp & Rescue
Sauvegardes de type "Cloud "
Les services peuvent être spécialisés :● Pour les photos (Flickr, Picasa, Photobucket, ...)● Pour la musique (Soundcloud, MP3tunes, ...)● Pour les documents (ZoHo, Adobe Buzzword, ...)
... ou généralistes :
Google Drive MS SkyDrive DropBox Ubuntu One etc...
Florilège d'outils de protection
Florilège d'outils de protection
Caractéristiques importantes d'un Cloud :● Synchronisation en arrière plan sur plusieurs appareils● Limitation en volume et transfert (et tarification)● Liste des systèmes et appareils supportés● Services de diffusion audio et vidéo (streaming)
Et les caractéristiques les plus importantes :● Localisation des données (régime juridique du pays)● Politique de confidentialité de l’opérateur du Cloud● Modèle économique de la gratuité apparente
À malin, malin et demi : le chiffrement du contenu
Le principe :● Créer une copie chiffrée d’un répertoire sur le disque● Synchroniser cette copie chiffrée avec le Cloud
TotoTataTiti
A&t :$ènM5Ff)
ChiffrerDéchiffrer
A&t :$ènM5Ff)
Cryptkeeper (Linux)AxCrypt (Windows)
Florilège d'outils de protection
Gestion des clés de protection
Pour ouvrir sa session (et déchiffrer son /home)● Un mot de passe court suffit, ● Il faut le changer régulièrement
Pour protéger son trousseau de clé● Préférer une "phrase de passe" (passphrase)
Pour se connecter sur un site/service (en https)● Mots de passe complexes générés aléatoirement● Ne jamais utiliser deux fois le même● Les conserver dans son trousseau de clé
Trucs et astuces de création de mots de passe● Ceux qui doivent être frappé souvent
● Une dizaine de caractères variés, qu’il faut mémoriser et apprendre à taper rapidement et sans erreurs, ex : qf33&45bn (attention au social engineering)
● Ceux qui ouvrent des coffres ou des trousseaux● Phrase longue, citation, suite de mots sans sens, ex :
CarotteChevalBureauOctobreVieux, ● Ceux qui vont être mémorisés et gérés par le PC
● Au moins 16 caractères générés aléatoirement, ex :6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau)Voir des sites comme strongpasswordgenerator.com
Gestion des clés de protection
Gestion des mots de passe et clés de chiffrement● Règles d’hygiène sécuritaire
● Savoir créer un mot de passe fort et fiable● Ne pas utiliser deux fois le même mot de passe !● Se faire aider par la machine pour gérer tout ça !
Le principe des poupées russes :
Gestion des clés de protection
La protection induit-elle la sécurité ?
Comparons :
PC sous Windows● Antivirus
● Anti-Trojan● Parefeu● Anti Backdoor
Trop d'insécurité --> méfiance nécessaire etplus de protections
PC sous Linux + LL● Inutile
● Inutile● Intégré● Inutile
Plus de sécurité -->plus de confiance etmoins de protection
Et ceci n'est (quasiment) pas une caricature
C'est le moment des
Questions / Réponses
Merci de votre attention ...
Sécurité et Informatique
Recommended