Cours 2 : Menaces et attaques - …odile.papini.perso.luminy.univ-amu.fr/sources/SECURITE/cours-SSI-2.pdf · Introduction Panorama des menaces Panorama des attaques L´egislation

IntroductionPanorama des menacesPanorama des attaques

Legislation

Cours 2 : Menaces et attaques

Odile PAPINI

ESILUniversite de la [email protected]

http://odile.papini.perso.esil.univmed.fr/sources/SSI.html

Odile PAPINI Securite des Systemes d’Information


Legislation

Plan du cours 2

1 Introduction

2 Panorama des menaces

3 Panorama des attaques

4 Legislation



Legislation

Intoduction

Que proteger ?

De quoi les proteger ?

Quels sont les risques ?

l’entreprise ?

Liste des menaces

DEMARCHE NORME ISO 17799

Liste des biens a proteger

Liste des impacts et probabilites

Liste des contre-mesuresComment proteger



Legislation

Panorama des menaces

Les menaces :

accidents

erreurs

malveillance

typologie des incidents norme ISO 17799



Legislation


pertes de services essentielspannes d’origine interne

accidents evenements naturelsaccidents physiques

erreurs de conceptionerreurs erreurs d’utilisation

vols ou disparitionsinfection par virus

divulgationsattaques logiques

actes de denigrement ou atteinte a l’imagemalveillance sabotages physiques

intrusions sur les SIfraudes informatiques

chantage, extorsion informatiqueintrusions, acces par un dispositif sans fil



Legislation


Accidents

incendie, explosion, implosion

degat des eaux

probleme d’integrite du batiment

catastrophes naturelles

pannes

internes (composant)logiciel de baseexternes (ex : climatisation, alimentation, · · · )

arret de services (EDF, Telecommunications, eau, · · · )

choc, collision, chute, pollution, rayonnement, · · ·



Legislation


Erreurs

erreurs de saisie, de transmission de donnees

erreurs d’exploitation

erreurs de conception dans la realisation ou la mise en oeuvredes :

logicielsprocedures

disponibilite des personnes

· · ·



Legislation


Malveillances

ce que l’on voit

ce que l’on connaıt

ce que l’on ne connaıt pas

ce que l’on ne peut pas imaginer

la malveillance n’est pas toujours visible

il est toujours possible de destabiliser un site :

refus de service

inondation : saturation par envoi de courrier electronique

blocage de compte par tentatives repeteees de connexioninfructueuse



Legislation


Malveillances (suite)

fraude, sabotagedetournement a son avantage (versement, chantage, extorsion,· · · )sabotage immateriel (destruction dans le seul but de nuire)denis de service

indiscretion ou ecoute de lignedetournementcopie de messageespionnage

actions indesirablesspams ou inondationstockage ”pirate”



Legislation



actions + ou - mal intentionnees

curiosite, jeu, · · · )decodeur canal+craquage de codes (cartes credits, · · · )

piratage de logiciel

craquage de securitecopie illicitegravage

menaces dues aux telecommunications



Legislation



Menaces dues aux telecommunications

interruptions de service ou disfonctionnement

alteration des donnees transmises

usurpation d’identitee

divulgation d’informations a un tiers

action malveillante transmise



Legislation


Problemes de l’imputabilite, de la repudiation, de laresponsabilite

lorsqu’un probleme intervient, comment prouver :

que cela a ete envoye ?qui l’a envoye ?qu’il a ete recu ?par qui ? et par qui d’autres ?qui a fait l’erreur ?qui est proprietaire du support de communication ?qui peut en etre garant ?

questions fondamentales lors d’un litige



Legislation


Problemes de l’imputabilite, de la repudiation, de laresponsabilite

elements de reponses :

identification(identifiant ↔ entite)

autentification(garantir l’identifiant)

chiffrement

le scellement informatique

accuse de reception

tunnel de donnees

· · ·



Legislation


Desinformation, propagande, destabilisation, credulite

falsification des sons, des images, des videos

veracite de l’information

d’ou vient l’information ?qui l’a fournie ?apres ”vu a la tele”, ”vu sur internet” ?

Quelles consequences ?



Legislation


Evolution des menacesquelques chiffres (sources CLUSIF)

accidents 24% :en baisse (effets materiels palpables)

erreurs 14% :en forte baisse (amelioration de la qualite des logiciels)

malveillance 62% :en forte hausse (en progression constante)



Legislation


Evolution des menaces aspect politico-economique

jusqu’a la fin des annees 1980 : contexte de guerre froide

aspect militaire de la securite : regles du jeu claires :

qui menace ?que proteger ? : les informations sensiblescomment les proteger ?

aujourd’hui : contexte de guerre economique

menaces tout azimut :

qui : le concurrent, le terroriste, · · ·quoi : toutes les informations de l’entreprisecomment : les reseaux, les intervenants exterieurs, les virus, · · ·



Legislation

Panorama des attaques

attaques virales

attaques techniques

attaques classiques



Legislation


attaques virales : Porte derobee (backdoor)

Fonction d’un programme non autorisee et qui ne participe en rienaux objectifs officiels d’un programme

a priori malveillante

d’aucune utilite autre que pour son concepteur

s’execute a l’insu de l’utilisateur

exemples : SGBD Interbase 2001, Linux 2003



Legislation


attaques virales : Porte derobee (backdoor) exemples

SGBD Interbase 2001

nom d’utilisateur : politically, mot de passe : correct

Linux 2003

2 lignes de C dans la fonction sys-wait4

if ((options == ( WCLON | WALL)) && (current->uid = 0))

retval = -EINVAL ;



Legislation


attaques virales : Cheval de Troie (Tojan)

Programme, jeu, commande ayant une fonction annoncee et enrealisant une autre (illicite)

attaque classique

s’execute a l’insu de l’utilisateur

exemple 2005 : cheval de troie envoye par email ou integre a unCD contenant une fausse proposition commerciale.Une fois installee et contre 3000 euros, le concepteur fournissait ason client une adresse IP, un nom d’utilisateur et un mot de passepour acceder au PC de sa victime



Legislation


attaques virales : Cheval de Troie exemples

Back Orifice : logiciel d’administration et de prise de controlea distance de machines utilisant WindowsSubseven : l’un des chevaux de troie les plus connus, en 2000il a intoduit :

surveillance par camera (Webcam capture)surveillance en temp reel du bureau Windows (DesktopCapture)le vol de mots de passe (Recorded Password) par lequelsubseven detecte les ecrans de demande de mot de passe(Windows, Internet · · · )permet la capture-clavier (Keylogger) pour recuperer lesnumeros de cartes de credits

autres chevaux de Troie : ByteVerify, XXXDial, · · ·



Legislation


attaques virales : Bombe logique

Action malveillante generalement differee

chantage

racket



Legislation


attaques virales : Virus

programme illicite qui s’insere dans des programes legitimesappeles hotes

se reproduit automatiquement, se transmet, peut avoir desactions retardees

se repand au travers d’internet, de disquettes, de cles USB

analogie avec la biologie : contagion

virus systeme, virus resident en memoire,

virus programme, virus macro,

virus polymorhe ou mutant, virus de scripts



Legislation


attaques virales : Virus exemple

Tchernobyl ou CIH

Yamanner

Cabir

...



Legislation


attaques virales : Vers (worm)

Processus parasite qui consomme, detruit et se propage sur lereseau

n’a pas besoin d’un programme hote pour se reproduire(contrairement au virus)

se reproduit par ses propres moyens sans contaminer deprogramme hote

souvent ecrits sous forme de script integres dans un courriel,une page html



Legislation


attaques virales : Vers (worm) exemples :

”internet worm” en 1988 atteinte de millers de stations Unixen 24h

le fameux ”I Love you”

Bagle

SQL Slammer

Santy

...



Legislation


attaques virales : Canular (Hoax)

messages diffusant de fausses alertes au virus

messages diffusant des rumeurs

encombrement des boıtes aux lettres

encombrement du reseau

ralentissement de l’activite



Legislation




Legislation




Legislation


attaques techniques : Hameconnage (Phishing)

piegeage de l’utilisateur en lui faisant croire qu’il s’adresse a untiers de confiance pour lui soutirer des informations confidentielles(mot de passe, no de carte de credit ...)

on lui demande son mot de passe

on lui demande de le changer

exemple : services bancaires en ligne, sites de ventes auxencheres (Ebay)



Legislation


attaques techniques : Hameconnage (Phishing) exemple

l’utilisateur reoit un message :



Legislation


attaques techniques : Hameconnage (Phishing) exemple

il va cliquer sur le lien

il croit qu’il se connecte sur le site LCL

il saisit des informations confidentielles

MAIS il ne se connecte sur un faux site LCL et un piraterecupere ces informations



Legislation


attaques techniques : Hameconnage (Phishing)rapport APWG (2006-2007)

37 444 sites frauduleux signalesnombre d’attaques par hameconnage :



Legislation


attaques techniques : Craquage (Cracking)

craquage de mot de passe

a l’aveuglette

comparaison du chiffrement de mots de passe supposes et demots chiffres dans le fichier /etc/passwd ou /etc/ypasswd

exemple : craquage de de jeux ou de logiciels



Legislation


attaques techniques : Renifflage (Sniffing)

analyse du traffic pour recuperer mots de passe etinformations confidentielles

sondes placees sur le reseau pour ecouter et recuperer desinformations a la volee

solutions : protocoles de communication securises (ex SSH, SSL)



Legislation


attaques techniques : Mascarade (Spoofing)

utilisation de l’adresse IP d’une machine afin d’en usurperl’identite.

recuperation de l’acces a des informations en se faisant passerla machine dont elle a usurpe l’adresse IP

creation de paquets IP avec une adresse IP sourceappartenant a quelqu’un d’autre



Legislation


attaques techniques : Smurfing

attaque du reseau IP

envoi d’un message a une adresse fausse

provoque la saturation et le blocage du reseau



Legislation


attaques techniques : Piratage telephonique (Phreaking)

utilisation du reseau telephonique d’une maniere non prevue parl’operateur, afin d’acceder a des fonctions speciales, en generalpour ne pas payer les communications et rester anonyme

exemple : Captain Crunch



Legislation


attaques techniques : Composeur d’attaques (Dialer)

logiciel balayant une serie de numeros de telephones a la recherched’un ordinateur distant

Le logiciel compose des numeros de telephone dont le cout d’appelest surtaxeexemple : annees 1990, (besoin d’un MODEM)



Legislation


attaques techniques : Rootkit

programme ou ensemble de programmes permettant de maintenirdans le temps un acces frauduleux a un SI

s’utilise apres une intrusion et l’installation d’une portederobee

fonction principale : camoufler la mise en place de plusieursportes derobees

opere des modifications sur les commandes systemes

l’installation d’un rootkit necessite des droits d’administrateur

exemple : octobre 2005 Rootkit SONY-BMGOdile PAPINI Securite des Systemes d’Information


Legislation


attaques techniques : Denis de service (DoS)

rendre une application informatique incapable de repondre auxrequetes des utilisateurs

types d’attaques nombreux :

debranchement de la prise d’un serveur

saturation d’un element charge d’animer l’application

exemple : bombe fork

Denis de service distribues (DDoS)

repose sur la parallelisation d’attaques DoS menees simultanementpar plusieurs systemes



Legislation


attaques techniques : Robots

programmes malveillants permettant une prise de controle adistance de machines vulnerables afin de former un reseaud’attaque cache (botnet)

pour s’implanter le robot utilise une methode classique

il peut etre depose sur la cible par spam, vers, virus, cheval detroie ...il peut posseder son propre module de propagation et exploite :

une vulnerabilitedes partages ouverts (open share)des mots de passe faibles ou manquants

exemple : Hollande octobre 2005 (rapport CLUSIF)

Denis de service distribues (DDoS)Odile PAPINI Securite des Systemes d’Information


Legislation


cybersurveillanceReseau d’ecoute Echelon (USA +UK)

technologies interceptees

1956 : signaux radio HF

1965 cables sous-marins

1968 micro-ondes

1970 satellites

1980 reseaux digitaux

1990 fibres optiques

2000 internet / portables



Legislation





Legislation



objectif officiel : lutter contre

terrorisme

grand banditisme

MAIS aussi : intrusion/interception

espionnage industriel

politique

vie privee



Legislation


cybersurveillanceAutres reseaux d’ecoute

Frenchelon & ESSAIM (francais)

Nice Track (belge)

Magic Lantern (FBI)

SORM (russe)

· · ·



Legislation


cybersurveillanceFrenchelon & ESSAIM

cree en 2003

surveillance radar, radio

orbite 680 km d’altitude

4 microsatellites sur des orbites perpendiculaires

station de controle a Toulouse

LSI ou loi Sarkosy II (mars 2003)

conservation des donnees relatives au trafic sur Internet ! ! !



Legislation


attaques classiques

vol

detournement

destruction

sabotage

chantage

exemples : (rapport CLUSIF 2005)



Legislation


cybercriminalite (CLUSIF 2005)

vols de code source

chantage, extorsion, racket sur Internet

cyberterrorisme

menaces sur la mobilite (telephones)

hameconnage

economie souterraine


vols et pertes de donnees, d’ordinateurs, de supports desauvegarde

harcelement



Legislation



panorama 2006

les mules

vols d’identite

SPIT nouvelles opportunites de ”spamming”

manipulation du cours de la bourse

vulnerabilites et attaques ”0-Day”

ecoutes et enquetes a haut risque



Legislation



panorama 2007

mondes virtuels

attaques en reputation

piratage pour focaliser l’attention


reseaux sociaux : nouvelles opportunites de malveillance



Legislation



panorama 2007

sophistication des attaques

enjeux malveillants sur le e-commerce

fraude aux cartes bancaires via internetescroqueries via les sites d’encheres

faits marquants

“cyber-guerre” en Estonie“cyber-attaques” chinoises



Legislation


cybercriminalite (CLUSIF 2008) : Les mondes virtuels



Legislation





Legislation



les mondes virtuels ont des monnaies virtuelles



Legislation



piratage sur les mondes virtuels :

chevaux de Troie, vol de mot de passe

virus

hammeconnage (phishing)

exploitation de tiers (farming)



Legislation



chevaux de Troie, vol de mot de passe



Legislation



virus



Legislation



hammeconnage



Legislation



exploitation de tiers



Legislation



fournisseurs et editeurs dont il faut se mefier



Legislation



panorama 2007

attaques en deni de service (DoS ou DDoS)

CastleCopsorganismes de lutte anti-spam et anti-phishing

attaques en reputation

CastleCops : donations frauduleuses



Legislation



panorama 2007 : attaques en reputation : donations frauduleuses

virements Paypal effectues au profit de CastleCops

source des donations : comptes bancaires pirates par phishing

montant des donations : 1 a 2800 US $

CastleCops : coupable designeimage altereeperte de temps, de moyens, d’argent

verifications, comptabilite, remboursementsactions en justiceblocage de compte



Legislation



panorama 2007 : espionnage industriel

volume d’affaires d’espionnage industriel ne faiblit pas

espionnage industriel : employes de l’entreprise

2 grandes affaires dans le monde de la Formule 1 en 2007

Mc Laren et FerrariRenault-F1 et Mc Laren



Legislation



panorama 2007 : reseaux sociaux : opportunites de malveillance

nombreux reseaux sociaux sur internet (Classmates, Facebook,Myspace etc..)

pour certains d’entre eux : des millions d’inscrits

possibilites d’attaques

acces frauduleux : Facebook 2007impostures : Myspace 2007infections : Myspace 2007



Legislation


Les clubs,observatoires associations, sites internet

CLUSIF, CLUb de la Securite Informatique en Francehttp ://www.clusif.asso.fr

OSSIR, Observatoire de la Securite des systemesd’Information et des Reseauxhttp ://www.ossir.org

CRU, Centre des Reseaux Universitaireshttp ://www.cru.fr

CNRS et UREC, Unite des Reseaux du Cnrshttp ://www.cnrs.fr/Infosecu



Legislation

Legislation

loi informatique et libertes no 78-17 du 6/01/78 relativea l’informatique et aux libertes (modifiee en 92 et en 93)

loi relative a la fraude informatique 92-957 du 01/07/92

loi relative aux infractions aux regles de cryptologie du29/07/81, modifiee le 26/07/96, modifiee le 17/03/99

decret no 99-199 du 17/03/99 definissant les categories demoyens et de prestations de cryptologie pour lesquelles la procedurede declaration prealable est substituee a celle d’autorisation

decret no 99-200 du 17/03/99 definissant les categories demoyens et de prestations de cryptologie dispensees de toute formaliepealable



Legislation

Legislation

loi sur la signature electronique 200-230 du 13/03/00

l’ecrit electronique signe a la meme valeur que l’ecrit signe surpapierequivalence papier electronique en presence de signaturela signature electronique ”jusqu’a preuve du contraire” authentifie lesignataire et garantit l’integrite du document (article 4) Loi sur lasignature electronique 200-230 du 13/03/00revient a faire confiance a l’organisme qui fournit la signatureelectronique

loi de reglementation des telecomunications du26/07/96

regles au niveau europeen

lignes directrices au niveau mondial (OCDE)



Legislation

Legislation

Criminalite des hautes technologies (OCLCTIC)

criminalite informatique (definitions)toute action illegale dans laquelle un ordinateur est l’instrument oul’objet d’un delit (delit dont le moyen ou le but est d’influencer lafonction de l’ordinateur)tout acte intentionnel associe d’une maniere ou d’une autre a latechnique informatique dans laquelle une victime a subi ou aurait pusubir un prejudice et dans laquelle l’auteur a tire ou aurait puintentionnellement tirer profit

cybercriminaliteensemble des infractions penales susceptibles de se commettre surdes reseaux de telecommunications en general et plusparticulierement sur les reseaux partageant Internet



Legislation

Legislation

Code penal

article 323.1acceder frauduleusement a un systeme de traitement automatise del’information

article 323.2entraver ou fausser un systeme de traitement automatise del’information

article 323.3introduire frauduleusement des donnees dans un systeme detraitement automatise de l’information

conduit a un delit penal passible de :3 ans d’emprisonnement50 000 euros d’amende



Legislation

Legislation

Quelques sites

http ://www.journal-officiel.gouv.fr

http ://www.legifrance.gouv.fr

http ://www.jurifrance.gouv.fr

http ://www.justice.gouv.fr



Legislation

Legislation

Quelques organismes officiels

CNIL : http ://www.cnil.fr

DCSSI : http ://www.ssi.gouv.fr

CESTI

OCLCTIC : http ://www.interieur.gouv.fr/police/oclctic

ART : http ://www.art-telecom.fr

CERT



Legislation

Legislation

CNIL : Commission Nationale de l’Informatique et desLibertes (http ://www.cnil.fr)

ses missions :

recenser les fichiers en enregistrant les demandes d’avis et lesdeclarations, en tenant a jour et en mettant a disposition du public le”fichier des fichiers”

controler en procedant a des verifications sur place

reglementer en etablissant des normes simplifiees pour les traitements lesplus courants et les moins dangereux

garantir le droit d’acces en exercant le droit d’acces indirect, enparticulier au fichier des Renseignements Generaux

instruire les plaintes

informer les personnes de leurs droits et obligations, conseiller, proposerdes mesures



Legislation

Legislation

Loi Informatique et des Libertes : droits et obligations

Tout traitement automatise d’informations nominatives doit,avant sa mise en oeuvre, etre declare ou soumis a la CNILafin :

de responsabiliser les utilisateurs de donnees nominatives

de permettre a la CNIL de controler et d’influencer les choix effectues

reglementer en etablissant des normes simplifiees pour les traitements lesplus courants et les moins dangereux

d’assurer grace a la publicite a laquelle elles donnent lieu, la transparencenecessaire a l’exercice des droits des personnes concernees par lestraitements



Legislation

Legislation

Nature des formalites

un regime d’avis pour le secteur public : les traitements publics sontcrees par un acte reglementaire apres avis motive de la CNIL

un regime declaration pour le secteur prive

un regime declaration simplifie pour les traitements les plus courants,publics ou prives

exemple :

quel sera la finalite du fichier ?

quelles informations vont etre enregistrees, pendant combien de temps ?

qui y aura acces ?

a quel service les personnes peuvent-elles s’adresse pour exercer leur droitd’acces ?



Legislation

Legislation

DCSSI : Direction Centrale de la Securite des Systemesd’Information (http ://www.ssi.gouv.fr)

depend du premier ministre

ses missions :

evaluer les procedes de chiffrement, les produits et systemes

agreer les equipements, produits, · · · utilises pour le traitement desdonnees classees defense

proceder a l’agrement des CESTI

certifier les produits evalues par les CESTI

instruire les demandes autour de la cryptologie

elaborer et distribuer les cles de chiffrement pour le secteur public ouprive

participer aux actions de normalisation



Legislation

Legislation

les CESTI : Centres d’Evaluation de la Securite desTechnologies d’Information

centres publics ou privesmissions :

evaluer evaluer de facon independante et suivant des rgles deschemas fournis les produits en vue de la certification DCSSI

proposer de l’expertise



Legislation

Legislation

OCLCTIC : Office Central de Lutte Contre la Criminalite lieeaux Technologies de l’Information et de la Communication

(http ://www.interieur.gouv.fr/police/oclctic)depend de la Police Nationale

double mission :

operationnelle

realisation d’enquetes judiciaires de haut niveau techniquemenees d’initiative ou a la demande des magistratsassistance technique a l’occasion d’enquetes menees pard’autres Services (pedophilie, prostitution,trafic de stupefiants,· · · )

strategique

formation, animation et coordination de l’action des autresservices rpressifs, competents en matiere d’infractions liees auxtechnologies de l’information et de la communicationcooperation internationaleOdile PAPINI Securite des Systemes d’Information


Legislation

Legislation

ART : Autorite de Regulation des Telecommunication(http ://www.art-telecom.fr)

liens entre l’ART et l’informatique

vecteur de transport de l’information

reseaux metropolitains, inter-regionaux, inter-entreprises, · · ·→ fournisseurs indirects de telecommunication

loi de reglementation des telecommunications du 26/07/96 etablit unenouvelle repartition des missions de regulation au sein de l’etat avec lacreation d’une autorite administrative autonomemissions :

favoriser l’exercice au benefice des utilisateurs d’une concurrenceeffective, loyale et durable

veiller au developpement de l’emploi, de l’innovation et de lacompetitivite dans le secteur des telecommunications

prendre en compte les interets des territoires et des utilisateurs dansl’acces aux services et aux equipementsOdile PAPINI Securite des Systemes d’Information


Legislation

Legislation

les CERT : Computer Emergency Response Teams

groupes au service d’une communaute identifieeRenater (Reseau National Technologie EnseignementRecherche)

missions :

reagir efficacement et au plus vite sur les problemes de securite

competence techniques pointuespoints de contact en cas de problemerelations avec les autres organismesvolonte de prevention



Legislation

Legislation

les CERT : Computer Emergency Response Teams

3 CERT en France

CERT Renater (enseignement, recherche)http ://www.renater.fr/Securite/CERT Renater.htmCERT A (administration)http ://www.ssi.gouv.fr/rubriq/certa.htmCERT IST (Industrie, Services, Tertiaire)http ://www.ssi.gouv.fr/rubriq/certa.htm

coordination europenne

TF-CSIRT

organisation mondiale des CERT : FIRST

FIRST : Forum of Incident Response and Security Teamhttp ://www.first.org/les 3 CERT francais sont integres dans le FIRST



Legislation


Les solutions (prochains cours)

materielles :

firewall

proxy

protocoles securises, · · ·

logicielles :

politique de securite

controle d’acces

anti-virus

anti-spyware

systemes de detection d’intrusion

utilisation de la biometrie


Documents

Cours 2 : Menaces et attaques - …odile.papini.perso.luminy.univ-amu.fr/sources/SECURITE/cours-SSI-2.pdf · Introduction Panorama des menaces Panorama des attaques L´egislation