1 SÉCURITÉ DES RESEAUX CYBERCRIMINALITE FORMATION A LA SECURITE DES SYSTEMES D'INFORMATION

1

SÉCURITÉ DES RESEAUX CYBERCRIMINALITE

FORMATION A LA SECURITE DES SYSTEMES D'INFORMATION

2

INFORMATION GENERALEINFORMATION GENERALE

OCLC : Office Central de Lutte contre la Cybercriminalité.

ANSSI : Agence Nationale pour la Sécurité des Systèmes d’Information (anciennement DCSSI et SCSSI)

CERTA : Centre d’Expertise gouvernementale de Réponse et de Traitement des Attaques informatiques

3

SECURITE DES RESEAUXNotion de Zoning

SECURITE DES RESEAUXNotion de Zoning

LE ZONING (applicable à tous les objets inclus dans l’architecture réseau réseau)- VERTE c’est une zone de service d’accueil et/ou d’infrastructure

- l’authentification est exigée et propagée en zone verte- pas de données ni programmes métiers - progiciel de contrôle d’accès généralisé actif (RACF, TOP

SECRET, …)

- ORANGE c’est une zone sécurisée qui comprend au minimum :- Filtrage IP pour stopper l’accès aux systèmes non

autorisés- détection intrusion (IDS)

- ROUGE c’est une zone de données et programmes métiers (production, infocentre, développements)

- aucun accès IP- tout accès à la zone rouge vers la verte passe par l’orange- toutes les ressources sont protégés par le progiciel généralisé de contrôle d’accès

4

SECURITE DES RESEAUXSECURITE DES RESEAUX

Une attaque réseau : n’importe quelle action qui compromet la sécurité du SI et de ses architectures.

Services de sécurité : il augmente la sécurité des traitements et des échanges de données en utilisant un ou plusieurs mécanismes de sécurité (DICP)

Mécanismes de sécurité : il est conçu pour détecter, prévenir et lutter contre une attaque de sécurité

5


A

– B

C

Internet

MASCARADE : attaque active

B

Le message reçu par B apparaît comme venant de A

6


A

C

B

REJEU : attaque active

Internet

Capture du message de A vers Bplus tard rejoue du message vers B

7


A

C

B

MODIFICATION : attaque active

Internet

Modification des messages de A vers B

8


A

C

DENI DE SERVICE : attaque active

Internet

serveur

Indisponibilité du service fournit par le serveur

9


A

C

B

CAPTURE + ANALYSE DE TRAFIC : attaque passive

Internet

Lecture du message venant de A+ Observation du volume de message

10

SERVICES DE SECURITESERVICES DE SECURITE

Contrôle d’accès : Contrôle les droits d’accès d’un utilisateur aux données et applications.

Notarisation : utilisation d’un tiers de confiance pour assurer la sécurité des transferts

Détection intrusion : repère les activités anormales sur le réseau surveillé

Journalisation : enregistrement des activités informatiques des personnels, permet un constat, une analyse et une correction.

Analyse de vulnérabilité : identification des failles du système d’information (cyber menace)

11

SERVICES DE SECURITESERVICES DE SECURITE

Contrôle de routage : sécurisation des chemins (liens et interconnexions)

Horodatage : marquage sécurisé des instants significatifs (effacement, mise à jour, …)

Certification : élément de preuve d’un fait ou d’un droit accordé

….

12

MECANISMES DE SECURITEMECANISMES DE SECURITE

Chiffrement : algorithme basé sur des clefs, transformant les données jusqu’à les rendre illisibles.

Signature numérique : ajout de données pour vérifier l’intégrité du message pendant l’échange

Pare-feu : un objet (logiciel ou matériel) du réseau qui contrôle les échanges qui le traversent (il n’empêche pas un attaquant d’utiliser une connexion autorisée pour pénétrer le système et n’empêche pas une attaque

venant du réseau interne)

Antivirus : logiciel censé protéger l’ordinateur contre les logiciels néfastes ou fichiers exécutables (ne protège pas contre un utilisateur légitime qui accède à des données auxquels il n’est pas autorisé, ni contre les virus à venir, …)

13

SECURITE DES RESEAUXProtection Physique de base

SECURITE DES RESEAUXProtection Physique de base

La sécurisation des locaux destinés à recevoir les équipements réseaux et téléphonie est primordiale (accès restreint, protection incendie, eaux, climatisation, poussières, …) et doit être maintenue opérationnelle (exemple : incendie du site de salle des marchés LCL boulevard des italiens à Paris en 1996).

Elle sera fonction de la sensibilité des machines implantés dans les locaux (serveurs de données, de messageries, de traitements, de sécurité, grands systèmes,…) et doit être traité dès la conception des sites.

14

SECURITE DES RESEAUXProtection Logique de base


Principe d’authentification :

la connaissance par l’utilisateur d’un secret (ce qu’il sait : votre mot de passe, la date anniversaire de votre grand-mère, …)

la possession par l’utilisateur d’un objet (ce qu’il a : une carte à puce, …)

ou quelque chose qui lui appartient intrinsèquement (ce qu’il est : empreinte digitale, oculaire ou vocale)

Exemple de la carte « securid »

La carte contient une horloge et la clé secrète de l’utilisateur, à la saisie par l’utilisateur de son code PIN, la carte lui affiche un PW imprévisible et utilisable dans les secondes qui suivent sur son ordinateur.

Le serveur synchronisé avec la carte et connaissant la clé et le code de cet utilisateur peut recalculer le code et vérifier sa validité.

15



- Ces outils reposent :

- sur une bonne gestion des droits d’accès (Profils, privilèges, …) :Authentification forte des utilisateurs (RSA-SecureID, ActivCard,

biométrie)Chiffrement et scellement des flux (C.I des contenus)Contrôle des mots de passe par logiciel central grands système (PW

triviaux, identiques, … sont rejetés)

Single sign On : l’utilisateur peut s’authentifier avec le même tokensur plusieurs environnements différents (Unix, NT, …)

- sur la surveillance des équipements d’administration et des droits accordés aux administrateurs à travers un système de trace évolué

16



LA BIOMETRIE : Elle est basée sur une caractéristique physiologique ou comportementale unique de l’individu (empreinte digitale + ou palmaire ++, la voix +-, l’iris de l’œil +++, dynamique de signature ++, …) qu’on associe au système informatique.

Cette caractéristique doit être protégée comme toute donnée confidentielle, en particulier, si elle transite sur le réseau

Quelques acteurs : SAGEM,

Wondernet « signature manuscrite : analyse de la vitesse, la pression, ..»,

Oberthur Card System (OCS) « intégration de la biométrie à la carte à puces »

17

SECURITE DES RESEAUX Traçabilité évoluée

SECURITE DES RESEAUX Traçabilité évoluée

- Traces réalisées sur différentes objets routeurs, firewalls, serveurs, applications informatiques, …

- Application d’un filtre sur les traces pour faire ressortir les éléments clés (alerte)

- Définition du format standard des traces et de leur synchronisation

- Infrastructure de remontée et de conservation des traces

- Mise en place de sondes (IDS) : permettant une visibilité sur les tentatives d’accès, et sur le contrôle des flux.

18


- Les traces doivent être disponibles (archivage), intègres (non modifiables), confidentielles et déclarées à la CNIL.

- Administration et supervision si possible centralisées sur le poste du RSSI (alertes, antivirus, firewall, détection intrusion et/ou modification du paramétrage d’un serveur de sécurité …)

19

SECURITE DES RESEAUXGestion de base


Tests d’intrusion- Le but est de mettre en évidence les failles (vulnérabilités) de sécurité (ex:

poste connecté à un modem, …) afin de contrer les activités malveillantes. Le risque est l’atteinte à la confidentialité d’informations sensibles.

Gestion des noms de domaine et service DNS : Rappel

- Chaque site Web, serveur de messagerie est identifié par l’utilisateur à travers son nom (ex : www.sociétéxxx.com)

- La gestion des TLD (Top Level Domain : .com, .fr, …) est assurée par des « enregistreurs » qui ont reçu délégation de l’Icann (Internet Corporation for Assigned Names and Numbers), en entreprise c’est le propriétaire de domaine qui est le responsable

20



Exemple de mesures de sécurité réseau

- Identifier et responsabiliser les prestataires choisis pour les tests d’intrusion (engagement de confidentialité)

- Éviter l’emploi d’un modem externe pour connecter un poste de travail à un réseau

- Rendre indépendant le service DNS (Internet) du DNS entreprise (Intranet) et prévoir une redondance des serveurs DNS

- Filtrage IP sur les points d’accès Internet (point de raccordement sur le FAI (Fournisseur d’Accès Internet), les pivots de routage, les points d’entrée sur les réseaux et systèmes hébergeant des applications

- Chiffrement de la messagerie (la norme S/MIME : chaque partie possède une bi-clé et le certificat correspondant) est la plus répandue mais il faut la coupler avec un anti-virus.

21



- Disposer d’un serveur « proxy (application) » (listes noires, protection contre les codes actifs : active X, …) entre le client et le serveur WEB ainsi que d’un antivirus.

Internet

Firewall 1 Firewall 2 Firewall 3

Intranet

Serveurs d’accueil

Serveursd’application

Serveurs de données

22



- Placer le ou les serveurs exposé à l’Internet derrière un équipement de filtrage

- Assurer une configuration sécurisée des serveurs (OS, logiciels installés, outils et protocoles de supervision, …)

- Détection, traitements et historisation des incidents- Mise à jour des versions en fonction des attaques connues

- Audit récurrent de configuration (auditeur spécialisé interne ou externe)

- Audit des événements journalisés (corrélation entre différents événements)

- Contrôle d’intégrité (données, pages web, …)

23

SECURITE DES RESEAUXPostes nomades

SECURITE DES RESEAUXPostes nomades

Les protections concernant un poste de travail standard peuvent s’appliquer à un poste itinérant

les postes nomades doivent accéder à Internet via un réseau sécurisé soumis à une bonne authentification.

Le disque dur du poste doit, si nécessaire, être chiffré (répliques de courrier confidentiel, BD, contrats, PW, …)

L’utilisateur du poste ne doit pas avoir la possibilité de désactiver les protections mises en place sur le poste (charte de responsabilité)

Les matériels périphériques connectables au poste nomade (clés USB,

CD, disquette, …) doivent, être interdits, au pire contrôlées et chiffrées.

24

SECURITE DES RESEAUX Petits et moyens système

SECURITE DES RESEAUX Petits et moyens système

– Gestion des changements des équipements et des configurations logiques

- le remplacement d’une machine par une autre ne doit pas être possible sans accord et contrôle de l’administrateur

- Maîtrise de la connexion des machines au réseau

- se prémunir des connexions sauvages au LAN en fermant l’ensemble des ports réseaux (switch et hub) non utilisés.

- vérifier que les machines connectées sont identifiées

25

MAITRISE ET CONTRÔLE DES FLUX RESEAUMAITRISE ET CONTRÔLE DES FLUX RESEAU

Un flux est caractérisé par :

- une source,

- une destination

- un protocole d’échange

La topologie du réseau doit être adaptée à la réalisation du filtrage :

- regroupement des machines de même nature et de même niveau de sécurité (poste de travail standard, poste d’administration, plate-forme de test, serveurs,…)

- protection des segments de réseau (accès physique aux prises murales, détection d’intrus, filtrage protocolaire,…)

26

MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite)MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite)

Pour implémenter une bonne sécurité, on doit disposer :

- d’une parfaite connaissance des flux qui vont transiter sur le réseau

- d’une organisation adaptée au contrôle

- d’une surveillance des filtres afin d’éviter la présence de filtres trop rigoureux ou trop ouverts

- d’une détection des tentatives d’intrusion - de procédures d’exploitation adaptées au

contexte et sécurisées

27


- Eviter les filtres de type « adresse IP source, adresse IP destination » qui n’intègrent pas la notion de protocole (Pr)

- La règle de base à appliquer : Tous les flux qui ne sont pas explicitement autorisé sont interdits

PRECISIONS

- Au niveau des interconnexions les machines sont identifiés par leur adresse IP, ainsi une machine interne aura son adresse @I et une machine externe son adresse @E.

- La communication sera établie depuis un port émetteur et un port récepteur.

- Une connexion sera donc caractérisée par (@I,@E, Pr

- Quand la machine émettrice est interne on parle de flux sortants et réciproquement pour les flux entrants

28


Le filtrage réseau s’appuie sur l’adresse IP pour identifier et authentifier les machines, or c’est un identifiant fragile, facile à usurper, il conviendra donc :

- de regrouper les postes de travail standard dont l’environnement (internet) est considéré comme peu

sûr

- de regrouper les postes des administrateurs dans un environnement sécurisé (pare-feu + locaux sécurisés)

- de regrouper les serveurs sensibles au sein d’un environnement spécifique (DMZ) sécurisé

29


A quoi sert le filtrage réseau ?

Principalement

A protéger les serveurs contre les attaques réseau de niveau IP

A ne laisser l’accès aux ports autorisés que depuis certaines machines

A s’assurer que les ports laissés ouverts ne seront sollicités que conformément au protocole prévu

30


De quelles informations a t-on besoin pour mettre en œuvre le filtrage ?

- La connaissance de la matrice des flux (@E,@I,PR)

- La localisation des machines E et I dans la topologie du réseau

31

LES FIREWALLSLES FIREWALLS

Équipements dédiés à la sécurité gèrent :

- La notion de session (aller et retour des flux)- Les critères de négation (tous les serveurs sauf…)- La journalisation des événements- Le contrôle applicatif de certains protocoles (garantie que le flux transmis correspond au protocole identifié par le port)

Certains Firewalls offrent la possibilité de réaliser des développements spécifiques par exemple, script en langage Inspect, ce qui permet de filtrer sur des caractéristiques particulières d’un protocole (ex : usage de port dynamique)Attention si cela n’est pas critique, au sens des performances, dans la protection à un accès Internet, cela peut le devenir dans une autre infrastructure

32

CONTEXTE DE L'INTERNETCONTEXTE DE L'INTERNET

33

MAIS AU FAIT, QU'EST-CE QUE L'INTERNET?MAIS AU FAIT, QU'EST-CE QUE L'INTERNET?

FOURNISSEURD'ACCÈS

INTERNET

FOURNISSEURD'ACCÈS

INTERNET RÉSEAUXRÉSEAUX

RÉSEAUXRÉSEAUX

BANQUE

SUPERMARCHÉ

SERVICES LES PLUS UTILISÉSLa messagerie électronique (E-mail)

Le World Wide Web (Http)

Les forums de discussion (Newsgroup)

Le transfert de fichiers (Ftp)

Moteurs de recherche (Google)

Etc.

34

INTERNETINTERNET

Conçu dans les années 1960 aux US par le « DoD » il s’est déployé progressivement jusqu’à atteindre la planète toute entière.

Internet n’a pas de frontière informatique, puisqu’il est constitué de différents réseaux interconnectés entre eux, sa couverture informatique est donc transfrontalière.

Il est donc facile d’en tirer parti, puisque les juridictions d’états à états sont différentes, on peut parler de paradis numériques.

35

CODE DE CONDUITE DES INTERNAUTES

EN CAS DE NON RESPECT : risques de marginalisation

QUELQUES REMARQUES DE BON SENS

Le niveau de confidentialité de la messagerie électronique est faible (carte postale)

Ne croyez pas que l'information à laquelle vous accédez est toujours à jour ou exacte …

Ne jamais envoyer de gros fichiers de données sans qu'ils aient été demandés par les destinataires

Ne jamais renvoyer des messages pyramidaux car il y a souvent un fort risque d'engorgement du réseau

LA NÉTIQUETTE DES GRANDES ENTREPRISESLA NÉTIQUETTE DES GRANDES ENTREPRISES

36

QU’EST-CE QUE LA CYBERCRIMINALITE ?QU’EST-CE QUE LA CYBERCRIMINALITE ?

La cybercriminalité est une activité criminelle réalisée au travers du cyberespace via le réseau internet.

Le cyberespace est un espace qui donne accès au réseau internet

Le cybernaute est une personne qui se déplace(surfe) dans le cyberespace

Cyber provient du mot cybernétique : science relative à la communication dans l’être vivant et la machine, Ex Cyborg, …

37

QUELQUES METHODESQUELQUES METHODES

Le Hacking ou « hachage en cuisine » il qualifie les activités qui consistent à découper très finement le mode de fonctionnement d’un ordinateur (il donne naissance aux hackers : expert malveillant en informatique, réseaux et télécommunication, « white Hat, Black Hat et les gris »,…)

Le Craking donne naissance aux cyberpirates, …

Le phishing consiste à attirer les internautes sur des sites frauduleux pour leur extorquer des données personnelles

Quelque soit la terminologie, il s’agit de réaliser via Internet des transactions dont les composantes fonctionnelles sont souvent l’argent

et le sexe

38

LE MAIRE DE CANCALE USURPE EN LIGNE L’IDENTITE D’UN

RIVAL, …

UNE EMPLOYEE SE FAIT PASSER POUR SA COLLEGUE SUR DES ESPACES DE RENCONTRE (usurpation d’identité sur Meetic)

AFFAIRE POLYTECHNIQUE (intrusion sur les ordinateurs)

INTRUSION SUR DES ORDINATEURS DU PENTAGONE

AFFAIRE AIRBUS / BOEING (concurrence déloyale)

MENACES RACISTES PAR COURRIER ELECTRONIQUE (diffamation)

UTILISATION DE 53 COMPTES BANCAIRES POUR DETOURNER 400 000 EUROS SUR UNE PERIODE DE 9 MOIS (appât du gain)

QUELQUES CAS DE CYBERCRIMINALITE (1/2)QUELQUES CAS DE CYBERCRIMINALITE (1/2)

39

CONTREFAÇON : Edition de chèques sur Internet

DIVULGATION : Diffusion des coordonnées des sites du MI5 et MI6 (Services Secrets Britannique)

VOL D'INFORMATION :DIFFUSION SUR INTERNET D'OUTILS DE SÉCURITÉ PIRATES DEPUIS UN LABORATOIRE DU GOUVERNEMENT AMÉRICAIN

INTRUSION DANS LES SYSTÈMES INFORMATIQUES DU SUPER COMPUTER CENTER DE SAN DIEGO

VOL DE 20 000 N° CARTES DE CRÉDIT DE LA SOCIÉTÉ NETCOM

ALTÉRATION DE SERVEURS WEB CIA

MINISTÈRE DE LA JUSTICE

UNE BANQUE FRANCAISE

QUELQUES CAS DE CYBERCRIMINALITE (2/2)QUELQUES CAS DE CYBERCRIMINALITE (2/2)

40

POLITIQUE DE SÉCURITÉ INTERNET POLITIQUE DE SÉCURITÉ INTERNET

41

UTILISATEURS (Agents, Industriels,...) Analyse des Risques

Sensibilisation

Identification/Authentification obligatoire

SERVEURS (Publics, Privés) Autorisation préalable

Epreuve d’agrément

Agrément

POLITIQUE DE SÉCURITÉ INTERNET POLITIQUE DE SÉCURITÉ INTERNET

- Principe de base -

AGREER L’ENSEMBLE DES ACTEURS ET MOYENS TECHNIQUESRESPONSABLES DE L’OUVERTURE DES RÉSEAUX

A INTERNET

42

MENACES ET COMPORTEMENTS DE VIGILANCE

MENACES ET COMPORTEMENTS DE VIGILANCE

43

Menaces Solutions de sécurité Comportements de vigilance

INFECTIONS

INFORMATIQUES

Logiciels antivirus (SCI) Logiciel anti-spyware Firewall Outils de scellement Outils de contrôle des

messages (PACTE)

1. Contrôlez les fichiers attachés à vos messages

INGÉNIERIE SOCIALE

(manipulation)

Outils de contrôle des messages

1. Ne répondez pas aux questionnaires et informez votre ASSIL

2. Ne communiquez pas d’informations sensibles sans l’accord de votre hiérarchie

DESINFORMATION Filtrage des serveurs en

entrée 1. Consultez des serveurs connus et reconnus 2. Vérifiez l’authenticité de l’information récupérée en

recoupant plusieurs sources d’information

USURPATION D’IDENTITE

Filtrage des serveurs en entrée

Mots de passe dynamiques

1. Soyez vigilant quant à l’identité de votre correspondant 2. Utilisez des codes secrets robustes 3. Vérifiez la consommation ou les statistiques d'utilisation de votre compte (cf. Administrateur) 4. Contrôlez votre date de dernière connexion

MENACES ET COMPORTEMENTS DE VIGILANCE (1/2)


44

Menaces Solutions de sécurité Comportements de vigilance

BOMBARDEMENT DES

MESSAGERIES ELECTRONIQUES

Administration renforcée des Firewall

Outils de contrôle des messages électroniques

1. Respectez la Nétiquette 2. Evitez d’émettre des mailings (notamment commerciaux)

DIVULGATION D’AXES DE

RECHERCHE

Disposer d’une adresse anonyme

1. Effectuez toujours une recherche groupée 2. Demandez assistance à votre ASSIL

CONNEXION A DES

SERVEURS NON CONFORMES A VOTRE

ACTIVITE

Administration / Surveillance des serveurs consultés

Filtrage des serveurs en entrée

1. Utilisez Internet uniquement à des fins professionnelles 2. Consultez des serveurs connus et reconnus

INTERCEPTION

D’INFORMATIONS

Outil de chiffrement 1. Préférez tout autre moyen de transfert (courrier traditionnel) 2. Sinon, prenez contact avec votre ASSIL pour tout besoin de

chiffrement des informations sensibles

ATTEINTE A L’INTEGRITE

Outil de scellement 1. Demandez à votre ASSIL l’outil de scellement nécessaire pour protéger les fichiers ou messages sensibles que vous souhaitez envoyer

DISPERSION

1. Commencez par consulter les bases d’informations internes



45

RAPPEL DES RÈGLES DE BASE A APPLIQUERRAPPEL DES RÈGLES DE BASE A APPLIQUER

46

UTILISER L'INTERNET EN AYANT LA CONNAISSANCE DES RISQUES INDUITS (vols d’identité bancaire, détournement de fonds, prudence sur l’exactitude des informations recueillies, …)

NE PAS CONTOURNER LES DISPOSITIFS DE SÉCURITÉ

APPLIQUER LES COMPORTEMENTS DE VIGILANCE

RESPECTER LES EXIGENCES DE SÉCURITÉ

Mon mot de passe est strictement personnel

Je ne consulte que les serveurs en relation avec mon activité

Je surveille l'utilisation de mon compte

RENDRE COMPTE DE TOUT INCIDENT A SA HIÉRARCHIE ET AU RSSI ou RSI

RAPPEL DES RÈGLES DE BASE A APPLIQUER

RAPPEL DES RÈGLES DE BASE A APPLIQUER

47

TEXTES DE RÉFÉRENCETEXTES DE RÉFÉRENCE

48

RESPONSABILITÉ CIVILE ET PÉNALE CRYPTOLOGIE LIBERTÉ D'EXPRESSION DROIT D'AUTEUR

ET FRAUDE INFORMATIQUE TRAITEMENT DES INFORMATIONS NOMINATIVES RESPONSABILITÉ DU PROPRIÉTAIRE DU SERVEUR PROTECTION DE LA VIE PRIVÉE

LES ASPECTS LEGISLATIFSLES ASPECTS LEGISLATIFS

Documents

1 SÉCURITÉ DES RESEAUX CYBERCRIMINALITE FORMATION A LA SECURITE DES SYSTEMES D'INFORMATION