Sécurité des Systèmes Sécurité des Systèmes d’Informationsd’InformationsRudolf Pareti

IntroductionIntroduction

� Les systèmes informatiques sont au cœurdes systèmes d´information.

� Ils sont devenus la cible de ceux quiconvoitent l’information.convoitent l’information.

� Assurer la sécurité de l’informationimplique d’assurer la sécurité dessystèmes informatiques.

Sécurité des systèmes d’informationSécurité des systèmes d’information

� Pourquoi mettre en place des méthodes si les bureaux ou les poubelles sont si les bureaux ou les poubelles sont accessibles facilement ?

Solutions à mettre en oeuvreSolutions à mettre en oeuvre

4

EnjeuxEnjeuxdes chiffres…

� 12 minutes : temps de survie d’un PC sur le net

� 50132$ : perte moyenne d’un entreprise ayant subit une attaque virale

� 506670$ : pertes moyennes dues aux incidents de sécurité sur un an.

� 22 milliards : pertes en 2005 dues au spams aux USA

5

� 22 milliards : pertes en 2005 dues au spams aux USA

� 26 milliards : le ver Mydoom

� 105 milliards : gains illicites liés à la cybercriminalité

� 1,1 milliards : marché de la sécurité

� 4,4 milliards : marché des antivirus

Plusieurs niveaux de solutionsPlusieurs niveaux de solutions

6

Types de risquesTypes de risques

� Accidents et pannes (impondérables)◦ 1/6ème

� Erreurs (saisies, conception, transmission, réalisation)réalisation)◦ 1/6ème

� Malveillances (volontaires)◦ 2/3 des risques

45% des Entreprises mettent en place une politique de sécurité (par prestataire)

objectifsobjectifs� Disponibilité◦ Continuité du fonctionnement◦ Respect des performances

� Intégrité ◦ Ni erreur ni falsification◦ Sauvegarde◦ Sauvegarde◦ Unicité de la représentation

� Confidentialité◦ Accès suivant autorisations

Qui gère les risques ? Contraignant ?

Risques et menaces 1/2Risques et menaces 1/2PhysiquesPhysiques� Dommages (bris de machines, coup de pieds, café, boisson sucré, dégât des eaux…)◦ Incendie (8/10/2008 Banque Populaire)◦ Incendie (8/10/2008 Banque Populaire)

◦ Incendie (ailleurs) 200 000€ en direct, 2,5 milliards en indirect.

◦ Climatisation : plusieurs millions par an

◦ Employé licencié, destruction manuelle des sauvegarde : plusieurs dizaines de millions…

IntroductionIntroduction

Origine des attaquesOrigine des attaques

ObjectifsObjectifs

Cinq principaux objectifs à garantir:

� Intégrité

� Confidentialité� Confidentialité

� Disponibilité

� Non-répudiation (Certificats numériques)

� Authentification

Evolution des risquesEvolution des risques

� Croissance de l'Internet

� Croissance des attaques

� Failles des technologies� Failles des technologies

� Failles des configurations

� Failles des politiques de sécurité

� Changement de profil des pirates

Qui sont les pirates ?Qui sont les pirates ?• Peut être n'importe qui avec l'évolution et lavulgarisation des connaissances.

• Beaucoup d'outils sont disponibles sur Internet.• Vocabulaire:

– "script kiddies"– "hacktiviste "– "hacktiviste "– "hackers"– "white hats "– "black hats "– "cracker "– "carder "– "phreaker"

PhénomènesPhénomènes� Techniques◦ Explosion de la technologie des transferts de données.◦ Grande complexité des architectures de systèmes.◦ Ouverture (pas toujours maîtrisée) des réseaux decommunication.

� Organisationnels� Organisationnels◦ Besoin de plus en plus d'informations.◦ Grande diversité dans la nature des informations :

� données financières� données techniques� données médicales� …

◦ Ces données constituent les biens de l'entreprise etpeuvent être très convoitées.

Objectifs des attaquesObjectifs des attaques

� Désinformer.� Empêcher l'accès à une ressource.� Prendre le contrôle d'une ressource.� Récupérer de l'information présente sur� Récupérer de l'information présente surle système.

� Utiliser le système compromis pourrebondir.

� Constituer un réseau de « botnet » (ouréseau de machines zombies).

Les BotnetsLes Botnets• Estimation: une machine sur quatre fait partie d’un botnet, soit environ 154 millions de

machines (Vinton Cerf à Davos en janvier 2007).• Un botnet peut être utilisé pour:

– Envoyer du spam

– Vol d’informations sensibles (avec un keylogger par exemple).

– Installer des spywares.

– Paralyser un réseau en déni de services

– Installer un site web malicieux (phishing)

– Truquer les statistiques de sites webs (sondage en lignes authentifiés par des adresses IP,– Truquer les statistiques de sites webs (sondage en lignes authentifiés par des adresses IP,

– rémunération sur des clics de bannières,…)

– …

• Quelques exemples:• – Jeanson James Ancheta, condamné en 2006 à 57 mois de prison ferme et trois ans de

libertés surveillées, à la tête d’un botnet estimé à 400 000 machines.• Pirate connu sous le pseudo de « 0x80 ». Lire l’article:• http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html

Les Chiffres Les Chiffres Symantec 2009Symantec 2009

� 20 000 botnets. Certains ne comptent que quelques machines, d’autres des centaines de milliers.

� 100€ Le prix moyen d’une journée de location d’un botnet pour mener une attaque contre un site web

� 100 000 000 de machines Zombies, soumises à un � 100 000 000 de machines Zombies, soumises à un botnet

� 3 000 000 de Gigaflops de puissance de calcul de toutes les machines zombies du botnet kido

� 30 000 spams que peut engendrer le botnet Grumchaque minute, soit 40 milliards par jour

� 1 300 000 machines dans le plus gros botnet Rustok

Motivations des attaquesMotivations des attaques

� Vol d’informations

� Cupidité

� Modifications d’informations

� Vengeance/rancune� Vengeance/rancune

� Politique/religion

� Défis intellectuels

Niveaux de sécurisationNiveaux de sécurisation

� Sensibilisation des utilisateurs auxproblèmes de sécurité.

� Sécurisation des données, desapplications, des systèmes d'exploitation.applications, des systèmes d'exploitation.

� Sécurisation des télécommunications.

� Sécurisation physiques du matériel et desaccès.

Politiques de sécuritéPolitiques de sécurité

� Compromis sécurité - fonctionnalité.

� Identifier les risques et leurs conséquences.

� Elaborer des règles et des procédures àmettre en oeuvre pour les risques identifiés.mettre en oeuvre pour les risques identifiés.

� Surveillance et veille technologique sur lesvulnérabilités découvertes.

� Actions à entreprendre et personnes àcontacter en cas de détection d'unproblème.

Mise en place d’une politique de Mise en place d’une politique de sécuritésécurité� Mise en œuvre

� Audit

� Tests d'intrusion

� Détection d'incidents� Détection d'incidents

� Réactions

� Restauration

Méthode ISO 17799Méthode ISO 17799

Les MenacesLes Menaces

� Social Engineering� MICE (Money, Ideology, Compromise,Ego)

� Dumpster diving (faire les poubelles)� Shoulder surfing� Sniffing� Scannings� Réseaux sociaux� etc.

Le Social EngineeringLe Social Engineering

� La méthode la plus efficace de piratage

� Souvent à la base des grandes escroqueries

� Phishing� Phishing

� Les pirates ne sont bridés que par leur imagination

� Exemples …

Dissimulation d’informationsDissimulation d’informations

� L'information peut être dissimulée dans un but de protection (mot de passe, …) ou dans des buts moins légaux.

� Différentes méthodes pour s'échanger de � Différentes méthodes pour s'échanger de l'information de manière sûre:◦ chiffrement (symétrique, asymétrique)

◦ Stéganographie

� Tout n'est pas autorisé par la loi.

StéganographieStéganographie

� Procédé ancien de dissimulation d'informations sensibles parmi d'autres informations moins informations moins importantes.

� Exemple: lettre deGeorge Sand à Alfredde Musset:

StéganographieStéganographie

• Fichiers graphiques ou sons assez adaptés comme support.

• Cas particulier du watermarking. (tatouage)• Exemples de logiciels:

–Steganos Security Suite–Steganos Security Suitehttp://www.steganography.com

–Outguess

http://www.outguess.org

–MP3Stego

http://www.petitcolas.net/fabien/steganography/mp3stego/

Menaces liées au réseauMenaces liées au réseau• Menaces actives

– Panne, mauvaise utilisation, pertes d'informations– Contamination (virus, vers, spyware)– Spam, phishing– Chevaux de troie (backdoors)– Dénis de services– Dénis de services– Intrusions– Bombes logiques– …

• Menaces passives– Écoute des lignes– Analyse de trafic– …

VirusVirus• Portion de code inoffensive ou destructrice capable de se reproduire et de se propager.

• Différents types de virus:–Virus boot–Virus dissimulé dans les exécutables–Virus dissimulé dans les exécutables–Macro virus

• Différentes contaminations possibles:– Échange de disquettes, clés USB …– Pièces jointes au courrier électronique– Exécutables récupérés sur Internet– ...

Vers (worms)Vers (worms)

• Proches des virus mais capables de sepropager sur d'autres ordinateurs à traversle réseau.

• Un moyen courant de propagation: le carnetd'adresses d'outlook (ex: "I Love you": dénid'adresses d'outlook (ex: "I Love you": dénide service sur les serveurs web).

• Quelques exemples:–Code Red (utilisation d'une faille des serveurs IISet défiguration des sites)

–Blaster (utilisation d'une faille du protocolewindows DCM RPC)

Troyens (trojan)Troyens (trojan)

� Très répandu

� Principe du cadeau empoisonné

� Exemples pour Windows◦ Back Orifice◦ Back Orifice

Permet de la « remote administration ».

◦ Optix

Permet de la « remote administration ».

Les spywaresLes spywares• Définition du spyware (http://en.wikipedia.org/wiki/Spyware):

– Un spyware ("espiogiciel") est un logiciel qui collecte desinformations d'une machine et les envoie à l'insu de l'utilisateursans son consentement.

• Concept inventé par Microsoft en 1995.• Quelques chiffres émanant d'une étude du NCSA menéechez les abonnés d'AOL en octobre 2004:chez les abonnés d'AOL en octobre 2004:– 80% des PC étudiés contenaient au moins 1 spyware.– Un PC héberge en moyenne 93 spywares.– 90% des personnes interrogées n'ont jamais entendu parler despyware.

• Un spyware se décline aujourd'hui en "adware" (logicield'affichage de publicité) et en "malware" ("pourriciel",logiciels hostiles)

• Les logiciels liés (bundles): installation du spyware en même temps qu'un logiciel légitime (KaZaA, codec DivX, …)

• La navigation sur Internet– exploitation de failles (essentiellement mais pas uniquement avec Internet Explorer)uniquement avec Internet Explorer)

– Installation volontaire (par acceptation) d'un logiciel, activeX, plug-in

• La messagerie incitant par SPAM à visiter des sites douteux.

• Une exemple particulier: 2 septembre 2008 à travers le webmail de la Poste

http://www.01net.com/editorial/389835/laposte.net-a-diffuse-involontairement-une-publicite-piegee/

Virus vs SpywareVirus vs Spyware• Un virus est capable de se reproduire, en général pasles spywares.

• Un virus s'installe sur une machine à sécurité faible,un spyware va plutôt inciter un utilisateur naïf ouignorant à le télécharger et à l'installer.

• Un virus est destiné à utiliser des ressources de lamachine et peut avoir des actions nocives

• Un virus est destiné à utiliser des ressources de lamachine et peut avoir des actions nocives(destruction de fichiers, ouverture de "backdoor",…).Un spyware n'est en principe pas destiné àendommager une machine.

• Les auteurs de spywares peuvent être rémunérés, cen'est bien sûr pas le cas pour un créateur de virus. Ledélai d'apparition d'un spyware après découverted'une faille peut donc être très court.

Détection de SpywareDétection de Spyware• Comportement anormal de la machine:

– Fenêtres "popup" intempestive.– Page d'accueil du navigateur modifiée.– Apparitions d'icônes sur le bureau.– Connexions à Internet intempestives.– Trafic réseau anormal.– Désactivation des outils de sécurité locaux.

• Les outils de sécurité locaux:• Les outils de sécurité locaux:– DLL modifiée (détectable par un antivirus).– Firewall personnel– Outils anti rootkits

• Les outils de sécurité réseau:– Connexions récurrentes et/ou nocturnes.– Téléchargements suspects.– Connexions vers des sites réputés pour être liés au spyware.– Connexions vers des sites non référencés dans un dns.– Connexions vers des sites .ru .cc .tw .cn …

SPAMSPAM• Définition de la CNIL: Envoi massif et parfois répété decourriers électroniques non sollicités à des personnes aveclesquelles l’expéditeur n’a jamais eu de contact au préalable, etdont il a capté l’adresse électronique façonirrégulière.(pourriel en français).

• SPAM=Spiced Pork And Meat, popularisé par un sketch desMonty Python (http://www.dailymotion.com/swf/x3a5yl)

• Un message va être déposé dans une liste de serveurs decourrier; les serveurs abusés vont envoyer une copie à chaquedestinataire.courrier; les serveurs abusés vont envoyer une copie à chaquedestinataire.

• Courrier basé sur une liste d’adresses collectées de manièredéloyale et illicite.

• Messages peu coûteux à l’envoi mais coûteux pour ledestinataire.

Le SPAM en chiffreLe SPAM en chiffre• 100% : croissance du coût du spam chaque année• 42 milliards de $ : coût global pour les entreprises auniveau mondial en 2004, 200 milliards de $ en 2007

• 600 à 1000 $ : coût par an et par salarié• Plus des 2/3 du volume total et mondial d’e-mailsenvoyésenvoyés

• 85% des spams reçus en France sont rédigés enlangue anglaise (7% en français)

• 60% proviennent des Etats-Unis

Sources : Basex, Radicati Group, Ferris Research, Postini,CNIL

Protection contre les SPAMProtection contre les SPAM• Ne rien acheter par l’intermédiaire de publicité faite par un spam (desétudes indiquent que 29% des utilisateurs le font).

• Ne jamais répondre à un spam.

• Ne pas mettre d’adresses électroniques sur les sites webs mais lesencoder par un script ou dans une image (exemple:http://www.caspam.org).http://www.caspam.org).

• Etre prudent dans le remplissage de formulaires demandant des adressesélectroniques; on peut parfois utiliser des adresses « jetables ». Exemple:

• http://www.jetable.org (adresse valable d’une heure à un mois).

• Protection au niveau du client de messagerie (gestion des "indésirables") .

Protection contre les SPAMProtection contre les SPAM• Protection délicate: la frontière entre un courriel et un pourriel n’est pas toujours franche et il ne faut pas rejeter des courriers réels.

• Un serveur de courrier doit être bien configuré (en particulier, pas « d’Open Relay ».

• Gestion de listes blanches.• Gestion de listes blanches.• Gestion de listes noires:

– Manuellement– Par utilisation de bases de données de relais ouverts

• Gestion de listes grises.• Des outils de filtrage en aval:

– spam assassin– pure message (sophos)

PhishingPhishing

• Contraction de PHreaking et fISHING (Hameçonnage).• Technique d'ingénierie sociale utilisée par desarnaqueurs (scammers)

• Technique ancienne mais utilisée massivement depuis2003.

• Par le biais de courrier électronique, messages• Par le biais de courrier électronique, messagesinstantanés, site webs, etc., on tente de duperl'utilisateur en le faisant cliquer sur un lien.

• L'objectif est d'obtenir des adresses de cartes decrédit, des mots de passe, etc.

• Les adresses sont collectées au hasard, maisstatistiquement un utilisateur peut avoir l'impression derecevoir un courrier d'un site qui lui est familier(banque,…).

Le ScamLe Scam

• Pratique frauduleuse d'origine africaine("ruse") pour extorquer des fonds à desinternautes.

• Réception d'un courrier électronique du• Réception d'un courrier électronique dudescendant d'un riche africain décédédont il faut transférer les fonds.

• Connue aussi sous le nom de 419 enréférence à l'article du code pénalnigérian réprimant ce type d'arnaque.

Exemple de SacmExemple de Sacm

Les HoaxLes Hoax

• On appel hoax un courrier électroniquepropageant une fausse information et,poussant le destinataire à diffuser la faussenouvelle à tous ses proches ou collègues.

• À la différence des SPAM qui sont envoyés• À la différence des SPAM qui sont envoyésde manière automatisée, les HOAX sontrelayés manuellement par des personnes debonne foi à qui on demande de renvoyer lemessage à toutes ses connaissances, ou àune adresse de courrier électronique bienprécise.

Objectifs des HOAXObjectifs des HOAX

� Engorger les serveurs de mail.

� Passer à travers les protections anti-SPAM.

� Nuire à l’image d’une marque.� Nuire à l’image d’une marque.

� Politique, idéologique.

� Saturer une adresse mail précise.

� Créer une liste de mail.

Protection contre les HOAXProtection contre les HOAX

� Toujours vérifier une information avant de la véhiculer

� Sites internet :◦ http://www.hoaxbuster.com◦ http://www.hoaxbuster.com

◦ http://www.hoaxkiller.fr

◦ http://urbanlegends.about.com

◦ …

Les réseaux sociauxLes réseaux sociaux

� FaceBook, Twitter, MySpace, Deezer, copains d’avant, Youtube, Dailymotion…

� Applications FaceBook

� Vol d’identité, informations personnelles� Vol d’identité, informations personnelles

� FaceBook est un superbe cyber vivier pour perpétrer des forfaits

� Faux profils, faux amis Twitter

Réseaux Sociaux Réseaux Sociaux –– Exemple 1/2Exemple 1/2

� Liens youtube (en fait www.yuotube.fr) qui nécessite l’installation d’un plug-in (virus)◦ Le lien apparait sur son profil pour se propager

� KoobFace (Ukraine 2008) programme qui vole mot de passe, n° de CB, et ajoute le PC à un Botnetde passe, n° de CB, et ajoute le PC à un Botnet

� Application non vérifiée par Facebook◦ Photo of the day (tous les jours une photo de National Geographic) mais code javascriptmalicieux

� Theharmonyguy.com 9700 applications avec grosses failles de sécurité

Réseaux Sociaux Réseaux Sociaux ––Twitter 1/2Twitter 1/2

� Twitter Hacker par Hacker Croll◦ Par social engeneering◦ Trouver le mot de passe de la boite mail yahoo d’un administrateur EvanWilliams et son épouse◦ Accès aux comptes Paypal, Amazon, Apple, AT&T, MobileMe et Gmail d'EvanWilliams, de Sara

Paypal, Amazon, Apple, AT&T, MobileMe et Gmail d'EvanWilliams, de Sara MorishigeWilliams, de Margaret Utgoff, et de Kevin Thau (des employés de Twitter)◦ Il a pu accéder aux informations Registrar des noms de domaines de Twitter et il pouvait à tout moment rediriger les domaines twitter vers n'importe quelle adresse IP (ou carrement voler le nom de domaine)

Réseaux Sociaux Réseaux Sociaux ––Twitter 2/2Twitter 2/2

� informations interne qu'il a pu se procurer sur Twitter.◦ la liste de tous les employés◦ leurs préférences alimentaires◦ des numéros de cartes bleues◦ des contrats confidentiels avec Nokia, Samsung, Dell, AOL,Microsoft…◦ des contacts emails de personnalités du web et du showbizz◦ des contacts emails de personnalités du web et du showbizz◦ des numéros de téléphone◦ des comptes rendus de réunion (très instructifs)◦ des modèles de documents internes◦ des emplois du temps◦ des CV de candidats aux postes dispo◦ des grilles de salaire

Conséquences des spyware virus …Conséquences des spyware virus …

� Perte de données

� Perte de temps de travail

� Perte d’image de marque

� Perte de fonctionnalités (système ou� Perte de fonctionnalités (système ouemail bloqués)

� Perte de confidentialité

Attaques RéseauAttaques Réseau

SnifferSniffer

� Outil de base indispensable.

� Permet de visualiser les trames sur unsegment de réseau.

� Nécessite des droits administrateurs.� Nécessite des droits administrateurs.

� Attention au problème juridique

� Beaucoup de logiciels sniffers existants.

� Affiche les entêtes de paquets répondantau critère spécifié.

IP spoofingIP spoofing

� Méthode d'attaque qui parodie l'adresseIP d'un autre ordinateur (usurpation).

� Permet de brouiller les pistes oud'obtenir un accès à des systèmes surd'obtenir un accès à des systèmes surlesquels l'authentification est fondée surl'adresse IP (rlogin, rsh sur les machines ànuméro de séquenceTCP prévisible).

Déni de Service (DOS)Déni de Service (DOS)• Denial Of Service• Attaque destinée à empêcher l ’utilisation d ’unemachine ou d ’un service.

• Type d'attaque utilisée par frustration, parrancune, par nécessité,…rancune, par nécessité,…

• Souvent plus facile de paralyser un réseau qued'en obtenir un accès.

• Ce type d ’attaque peut engendrer des pertestrès importantes pour une entreprise.

• Attaque relativement simple à mettre en œuvre(outils faciles a trouver).

Types de DOSTypes de DOS• DOS local (épuisement des ressources)

– Saturation de l'espace disque– répertoires récursifs– boucle infinie de fork ()–…

• DOS par le réseau (consommation de bande• DOS par le réseau (consommation de bandepassante)– Réassemblage de fragments (Ex: teardrop, ping of thedeath)

– Flags TCP illégaux– SYN flood–…

DOS par SYN floodDOS par SYN flood

� Attaque par inondation de SYN avec uneadresse source usurpée (spoofée) etinaccessible.

� La machine cible doit gérer une liste de� La machine cible doit gérer une liste deconnexions dans l ’état SYN_RECV .

� Une attaque est visible si la commandenetstat –an indique un grand nombre deconnexions dans l'état SYN_RECV.

DNS cache poisoningDNS cache poisoning

� Reroutage d'un site sur un site pirate

ExempleExemple• Vulnérabilité découverte en juillet 2007touchant de nombreuses versions de BIND(CVE-2007-2926 , BID-25037).

• Description du CERTA:– "Une vulnérabilité a été identifiée dans BIND. Lafaille concerne le générateur d'identifiants de"Une vulnérabilité a été identifiée dans BIND. Lafaille concerne le générateur d'identifiants derequêtes, vulnérable à une cryptanalysepermettant une chance élevée de deviner leprochain identifiant pour la moitié des requêtes.Ceci peut être exploité par une personnemalintentionnée pour effectuer du cachepoisoning et donc contourner la politique desécurité. "

ARP spoofingARP spoofing

• Pollution des caches arp avec de faussesassociations adresse mac/adresse IP.

• Permet des attaques de type "man in themiddle", DOS, transgression des règles d'unfirewall par spoofing.middle", DOS, transgression des règles d'unfirewall par spoofing.

SmurfSmurf• Envoie d'une trame ICMP "echo request" sur une adresse de diffusion.• Exemple: ping 193.49.200.255• Méthode utilisée pour déterminer les machines actives sur une plage IPdonnée.

• Objectif: écrouler une machine• 3 parties: l'attaquant, l'intermédiaire, la victime

Le PhreakingLe Phreaking� contraction de phone et freak (marginal).� pirate téléphonique.� Objectifs :◦ ne pas payer la communication.◦ rester anonyme.Origine : Le phreaking est né aux États-Unis� Origine : Le phreaking est né aux États-Unisdans les années 1970. Un des mythes fondateurdu phreaking est l'histoire de Captain Crunch.Ce phreaker de renommée internationale avaitutilisé un sifflet trouvé dans une boîte decéréales Captain Crunch pour accéder à desfonctions spéciales du central téléphonique.

Le PhreakingLe Phreaking

� Les télécartes furent l'objet d'actes de piratage pendant les années 1990.

� Croissance avec le Minitel.

� Piratage de standard d’entreprise.� Piratage de standard d’entreprise.

Le Le CardingCarding

� Cartes bancaires et plus généralement des banques.� Carte de télévision.� Numéro des cartes de certaines banques :◦ 4970 : La poste◦ 4971 : Crédit Commercial◦ 4972 : Crédit Lyonnais◦ 4973 : Société Générale◦ 4974 : BNP◦ 4975 : Banque Populaire◦ 4976 : Banque Sofinco◦ 4978 : Caisse d'Epargne◦ 5016 : Finedis◦ 5032 : Accord Finances◦ 5131 : Crédit Agricole

La YescardLa Yescard� Une YesCard est une carte bancaire donnantune autorisation de transfert ("oui" à lademande) quel que soit le "code secret" tapépar son titulaire.

� vierge à l'origine, dans laquelle un programme et� vierge à l'origine, dans laquelle un programme etdes données spécifiques sont programmées parun pirate.

� Le programme est développé soit à partir ducontenu d'une carte bancaire trouvée mêmepérimée.

LégislationLégislation� En France :

� La contrefaçon et/ou la falsification des cartes bancaires sont régies par le décret-loi du 30octobre 1935 unifiant le droit en matière de chèques et relatif aux cartes de paiement.

� Art. 67. (L. n° 91-1382 du 30 déc. 1991)

◦ Seront punis d'un emprisonnement d'un an à sept ans et d'une amende de 3.600 F à5.000.000 F ou de l'une de ces deux peines seulement :� Ceux qui auront contrefait ou falsifié un chèque ;� Ceux qui, en connaissance de cause, auront fait usage ou tenté de faire usage d'unchèque contrefait ou falsifié ;

� Ceux qui, en connaissance de cause, auront accepté de recevoir un chèque contrefait ou� Ceux qui, en connaissance de cause, auront accepté de recevoir un chèque contrefait oufalsifié.

� Art. 67-1. (L. n° 91-1382 du 30 déc. 1991) Seront punis des peines prévues à l'article 67

◦ Ceux qui auront contrefait ou falsifié une carte de paiement ou de retrait ;

◦ Ceux qui, en connaissance de cause, auront fait usage d'une carte de paiement ou de retraitcontrefaite ou falsifiée ;

◦ Ceux qui, en connaissance de cause, auront accepté de recevoir un paiement au moyend'une carte de paiement contrefaite ou falsifiée.

� Art. 67-2. (L. n° 91-1382 du 30 déc. 1991)

◦ Dans les cas prévus par les articles 67 et 67-1, les chèques et les cartes de paiement ou deretrait contrefaits ou falsifiés seront confisqués et détruits. La confiscation des matières,machines, appareils ou instruments qui ont servi ou étaient destinés à servir à la fabricationdesdits objets sera prononcée, sauf lorsqu'ils ont été utilisés à l'insu du propriétaire.

Le wifiLe wifi

� Médium partagé

� Piratage en hausse constante

� (coWPAtty, aircrack, KisMAC, Wireshark, Kismet, Airjack, …)Kismet, Airjack, …)

� Nécessite une forte sécurisation et authentification

Le wifiLe wifi

� Une infrastructure adaptée

� Eviter les valeurs par défaut

� Le filtrage des adresses MAC

�WEP -Wired Equivalent Privacy �WEP -Wired Equivalent Privacy ◦ clés d'une longueur de 64 bits ou 128 bits

◦ déclarée au niveau du point d'accès et des clients

◦ la connaissance de la clé est suffisante pour déchiffrer les communications

Le wifiLe wifi� WPA -WiFi Protected Access � TKIP (Temporary Key Integrity Protocol)� génération aléatoire de clés� possibilité de modifier la clé de chiffrement plusieurs fois par secondes, pour plus de sécurité.

� TKIP se met en place après le protocole WEP� TKIP se met en place après le protocole WEP� le code d'authentification de message est contenu dans un paquet WEP

� un pirate informatique peut l'intercepter� récupérer le code MAC et se faire passer pour le point d'accès.

� Cette méthode est encore plus efficace en interceptant les paquets ARP puisque leur contenu est connu.

Le wifiLe wifi

�WPA2◦ Ne repose plus sur le WEP

◦ Utilise des algorithmes de cryptage différent de TKIP comme Radius ou AES

◦ Existe une version allégée pour les particuliers

Les MobilesLes Mobiles

� Les appareils mobiles peuvent être de 8 types◦ Téléphone mobile◦ PDA◦ Smartphone◦ Smartphone◦ Tablette PC◦ Notebook◦ Lecteur multimédia mobile◦ Console de jeu mobile◦ Appareil mobile industriel

Les MobilesLes MobilesTéléphone mobile� typologie très variée� fournissent différents niveaux de fonctionnalités� fonctionnalités de base ◦ effectuer un appel◦ effectuer un appel◦ envoi d’un court message de texte

� fonctions supplémentaires◦ alarme ou un calendrier. ◦ synchronisation du contenu du calendrier◦ du répertoire téléphonique avec un ordinateur de bureau

� font tourner un système d’exploitation spécialisé et compact.

Les MobilesLes MobilesPDA� Appareils possédant généralement un large écran tactile muni d’un clavier

� disposent de processeurs relativement rapides� capacité mémoire et de stockage plutôt limitéeensemble de logiciels pour la gestion des � ensemble de logiciels pour la gestion des informations personnelles

� carnet d’adresses, un calendrier, un petit traitement de texte

� un système d’exploitation supportant l’installation de logiciels supplémentaires

� fournissent généralement une certaine connectivité sans fil

Les MobilesLes MobilesSmartphones

� combinaison d’un téléphone mobile et d’un PDA

� une version élaborée ressemblant à un PDA� une version élaborée ressemblant à un PDA

� une version plus simple ressemblant à un téléphone mobile

� Un smartphone possède beaucoup d’applications communes à un PDA

� installation d’applications supplémentaires

Les MobilesLes Mobiles

Tablette PC

� écrans tactiles mobiles sans clavier

� connectivité sans fill

� composants standards d’ordinateurs � composants standards d’ordinateurs personnels

� système d’exploitation commun aux ordinateurs personnels

� enrichi de quelques services d’interface spécifiques

Les MobilesLes Mobiles

Lecteur multimédia mobile� conçus pour accéder à du contenu multimédia� aussi appelés lecteurs de musique ou baladeurs� peuvent inclure un lecteur et enregistreur vidéo � peuvent inclure un lecteur et enregistreur vidéo � connectivité sans fil pour accéder à du contenu à travers un réseau

� La plupart utilisent un système d’exploitation personnalisé

� ne supporte pas l’installation de logiciels supplémentaires.

Les MobilesLes MobilesConsole de jeu mobile� Conçues pour jouer à des jeux vidéos� Capables de fournir du contenu multimédia� Distinction entre une console de jeu portable etun lecteur multimédia mobileun lecteur multimédia mobile

� Peuvent utiliser une connectivité sans fil (multi-joueurs)

� Système d’exploitation personnalisé et nesupportent pas l’installation de logicielssupplémentaires autre que des jeux

� Il existe des outils permettant de les utilisercomme un ordinateur portable.

Mobiles Mobiles –– Les causesLes causes

� Convergence technologique◦ Combinaison de technologies différentes◦ baladeur ou un appareil photo numérique.

� Forte connectivité◦ Beaucoup d’appareils supportent de multiples façons de se connecter à Internet ou à tout autre ◦ Beaucoup d’appareils supportent de multiples façons de se connecter à Internet ou à tout autre réseau.

� Forte personnalisation◦ Les appareils mobiles ne sont généralement pas partagés entre les utilisateurs, là où les ordinateurs le sont souvent. Ces appareils ne sont jamais loin de leur propriétaire.

Mobiles Mobiles –– Les causesLes causes

� Plus difficile à sécurisé� Mobilité augmente risque de vol de données, ou del’appareil

� Une forte personnalisation + forte connectivité =violation de la vie privée◦ (un appareil mobile se situe là où se trouve son propriétaire,◦ (un appareil mobile se situe là où se trouve son propriétaire,et donc localiser le mobile signifie localiser son propriétaire)

� Nouvelle fonctionnalité = Nouvelle cible potentiellementattaquable

� L’absence d’un clavier complet, complique l’implantationde mécanisme d’authentification (login, mdp à saisir)

Mobiles Mobiles –– Les MenacesLes Menaces

� Perte ou vol d’appareil (sauvegarde)� Attaques par déni de service (capacité faible entraitement)

� Attaques par réseau sans fil (écoute)� Attaques par effraction (dépassement de tampon et injection de� Attaques par effraction (dépassement de tampon et injection decode sur un systèmeWindows CE )

� Virus, vers et chevaux deTroie� Attaques par surfacturation� Attaques par infrastructure� Failles Java (Midlet, Kvm(KiloVirtualMachine),…)

Les MobilesLes Mobiles –– Les MenacesLes Menaces

� Commonwarrior-A pour Symbian (Nokia)

� Envoie de SMS de SPAM

� Explosion de la facture

� 1000 Programmes malveillants� 1000 Programmes malveillants

� C’est l’OS qui est ciblé

� Frontière entre mobile et PC très mince

� Accès direct au Web, peu de logiciel de surveillance (Norton, Kaspersky)

Les Mobiles Les Mobiles -- ProtectionProtection

� Factures au montant inhabituel

� Désactiver Bluetooth et Wifi

� Ne pas ouvrir les pièces jointes expéditeur inconnu (Mail, Sms, MMS)expéditeur inconnu (Mail, Sms, MMS)

� Applications d’origines douteuses

� Infection -> réinitialisation complète

ProtectionProtection

Les ProtectionsLes Protections

� se tenir au courant� connaître le système d'exploitation� réduire l'accès au réseau (firewall)� réduire le nombre de points d'entrée� réduire le nombre de points d'entrée(ports)

� définir une politique de sécurité interne(mots de passe, lancement d'exécutables)

� déployer des utilitaires de sécurité(journalisation)

Les antiLes anti--virusvirus� fichiers de signatures :

◦ comparaison de la signature virale du virus aux codesà vérifier.

◦ méthode dite heuristique tendant à découvrir uncode malveillant par son comportement.code malveillant par son comportement.

� balayer le contenu d'un disque dur.

� la mémoire de l'ordinateur.

� Action en amont de la machine en scrutant les échangesde fichiers avec l'extérieur.

� Surveille aussi les courriels.

Les antiLes anti--virusvirus� il peut :

◦ tenter de réparer les fichiers endommagés enéliminant le virus.

◦ mettre les dossiers en quarantaine afin qu’ils nepuissent être accessibles aux autres dossiers ni sepuissent être accessibles aux autres dossiers ni serépandre et qu'ils puissent éventuellement êtreréparés ultérieurement.

◦ supprimer les fichiers contaminés.

� Les mises à jour doivent être faites de façon trèsrégulière et fréquente

Les pare feu (firewall)Les pare feu (firewall)

� élément du réseau informatique, logicielet/ou matériel.

� faire respecter la politique de sécurité duréseau, celle-ci définissant quels sont lesréseau, celle-ci définissant quels sont lestypes de communication autorisés ouinterdits.

Les pare feu (firewall)Les pare feu (firewall)� une des pierres angulaires de la sécurité d'un réseauinformatique.

� Il perd en importance au fur et à mesure que lescommunications basculent sur HTTP sur SSL, court-circuitant tout filtrage.

� contrôler le trafic entre différentes zones de confiance.� contrôler le trafic entre différentes zones de confiance.� Le filtrage se fait selon divers critères :◦ l'origine ou la destination des paquets (adresse IP, ports TCP ouUDP, interface réseau, etc.)◦ les options contenues dans les données (fragmentation, validité,etc.)◦ les données elles-mêmes (taille, correspondance à un motif, etc.)◦ les utilisateurs pour les plus récents

Les pare feu (firewall)Les pare feu (firewall)� Pare-feu sans états (stateless firewall)� Regarde chaque paquet indépendamment des autres etle compare à une liste de règles préconfigurées.

� Ces règles peuvent avoir des noms très différents enfonction du pare-feu :◦ "ACL" pour Access Control List (pare-feu Cisco),◦ "ACL" pour Access Control List (pare-feu Cisco),◦ politique ou policy (pare-feu Juniper/Netscreen),◦ Filtres …

� Pare-feu à états (stateful firewall)◦ notion de connexion◦ vérifient la conformité des paquets à une connexion en cours◦ vérifient que chaque paquet d'une connexion est bien la suite duprécédent paquet et la réponse à un paquet dans l'autre sens.

Les pare feu (firewall)Les pare feu (firewall)� Pare-feu applicatif◦ vérifient la complète conformité du paquet à un protocoleattendu.◦ Exemple : seul du HTTP passe par le portTCP 80.◦ très gourmand en temps de calcul dès que le débit devient trèsimportant.important.◦ de plus en plus de protocoles réseaux utilisent un tunnel TCPpour contourner le filtrage par ports.◦ ouverture de ports dynamique (FTP)

� Pare-feu identifiant◦ règles de filtrage par utilisateur et non plus par IP.◦ NuFW.◦ ISA Server.

Les pare feu (firewall)Les pare feu (firewall)� Pare-feu personnel

◦ installés sur une machine de travail

◦ agissent comme un pare-feu à états

◦ vérifient aussi quel programme est à l'origine des données

◦ But : lutter contre les virus informatiques et les logiciels espions.

Portails captifs� Portails captifs

◦ But : effectuer une vérification de l'identité de l'utilisateur avantde le laisser accéder à internet.

◦ permettent de limiter les utilisations abusives des moyensd'accès.

◦ Très utilisé dans les réseauxWifi (hot spot)

◦ Pfsense

Les pare feu (firewall)Les pare feu (firewall)� Les firewalls récents embarquent de plus en plus de fonctionnalités,parmi lesquelles on peut citer :◦ Filtrage sur adresses IP/Protocole.

◦ Inspection stateful et applicative.

◦ Intelligence artificielle pour détecter le trafic anormal.

◦ Filtrage applicatif� HTTP (restriction des URL accessibles).HTTP (restriction des URL accessibles).� Courriel (Anti-pourriel).� Logiciel antivirus, anti-logiciel malveillant.

� Translation d'adresses.� Tunnels IPsec, PPTP, L2TP.� Identification des connexions.� Serveurs de protocoles de connexion (telnet, SSH), de protocolesde transfert de fichier (SCP).

� Serveur mandataire (« proxy » en anglais).

Intrusion Detection System (IDS)Intrusion Detection System (IDS)

� Un IDS a pour fonction d'analyser en temps réel oudifféré les évènements en provenance des différentssystèmes, de détecter et de prévenir en cas d'attaque.

� Les buts sont nombreux :

◦ collecter des informations sur les intrusions.◦ collecter des informations sur les intrusions.

◦ gestion centralisée des alertes.

◦ effectuer un premier diagnostic sur la nature del'attaque permettant une réponse rapide et efficace.

◦ réagir activement à l'attaque pour la ralentir ou lastopper.

Intrusion Détection System (IDS)Intrusion Détection System (IDS)

� Les systèmes de détection d'intrusion ou IDS peuventse classer selon trois catégories majeures selon qu'ilss'attachent à surveiller :◦ le trafic réseau : on parle d'IDS réseau ou NIDS(Network basedIDS)

◦ l'activité des machines: on parle d'IDS Système ou HIDS(Host◦ l'activité des machines: on parle d'IDS Système ou HIDS(Hostbased IDS)

◦ une application particulière sur la machine : on parle d'IDSApplication (Application based IDS). Contrairement aux deuxIDS précédents, ils sont rares. Nous ne les traiterons donc pas.

Intrusion Détection System (IDS)Intrusion Détection System (IDS)

� Les systèmes de détection d'intrusion ou IDS peuventse classer selon trois catégories majeures selon qu'ilss'attachent à surveiller :◦ le trafic réseau : on parle d'IDS réseau ou NIDS(Network basedIDS)

◦ l'activité des machines : on parle d'IDS Système ou HIDS(Host◦ l'activité des machines : on parle d'IDS Système ou HIDS(Hostbased IDS)

◦ une application particulière sur la machine : on parle d'IDSApplication (Application based IDS). Contrairement aux deuxIDS précédents, ils sont rares. Nous ne les traiterons donc pas.

� Il se place juste derrière le firewall

Le VPNLe VPN

� Principe◦ vu comme une extension des réseaux locaux

◦ préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local

◦ techniques de « tunnel »

◦ utiliser Internet comme support de transmission

◦ réseau ainsi artificiellement créé

◦ une liaison sécurisée à moindre coût

Le VPNLe VPN

� l'authentification (et donc l'identification) des interlocuteurs

� l'intégrité des données (le chiffrement vise à les rendre inexploitables par quelqu'un d'autre que le destinataire)le destinataire)

� sécurisé par des algorithmes de cryptographie

� entre l'entrée et la sortie du VPN les données sont chiffrées

� comme si les données passaient dans un tunnel

Le VPNLe VPN

� encapsuler un protocole dans un protocole de même niveau du modèle OSI (IP dans IPSec par exemple)

Le VPNLe VPN

� Principe

� Un système extérieur (client nomade) veut atteindre le réseau de son entreprise◦ Les paquets sont chiffrés par le client VPN et ◦ Les paquets sont chiffrés par le client VPN et éventuellement signés.

◦ Transmis par Internet

◦ Reçus par le serveur VPN

Cryptographie Symétrique Cryptographie Symétrique

� Un peu de binaire

� Exemple de cryptage◦ Message 10011100

◦ Clé de cryptage : 101◦ Clé de cryptage : 101

Cryptographie asymétrique Cryptographie asymétrique

� 2 clés une publique et une privée

� Clé publique crypte mais ne décrypte pas

� Clé privée décrypte mais ne crypte pas◦ On envoie la clé publique uniquement et on ◦ On envoie la clé publique uniquement et on garde sa clé privée

Cryptage asymétriqueCryptage asymétrique� Le coffre-fort

� Le chiffrement : Alice a choisi un coffre-fort. Elle l'envoie ouvert à Bob, et en garde la clé. Lorsque Bob veut écrire à Alice, il y dépose son message, ferme le coffre, et le renvoie à Alice. À sa réception, seule Alice peut ouvrir le coffre, puisqu'elle seule en possède la clé, à supposer le coffre puisqu'elle seule en possède la clé, à supposer le coffre inviolable, et que personne ne puisse retrouver la clé.

� L'authentification ou la signature : Alice place un message dans le coffre-fort qu'elle ferme avec sa clef privée avant de l'envoyer à Bob. Si Bob parvient, à l'aide de la clé publique d'Alice (dont il dispose), à ouvrir le coffre-fort c'est que c'est bien celui d'Alice et donc que c'est bien elle qui y a placé le message. (src wikipédia)

les certificats numériquesles certificats numériques

� Permet de s’assurer que l’expéditeur est bien celui que l’on croit (ma banque…)

� Procédure inverse on crypte avec sa clé privé un message décryptable avec la clé privé un message décryptable avec la clé publique.

� Si le message décrypté est valide c’est bien l’expéditeur qui l’a envoyé

Cryptage asymétriqueCryptage asymétrique� La boîte à deux serrures

� Une autre analogie envisageable serait d'imaginer une boîte avec deux serrures différentes. Lorsque l'on ferme la boîte d'un côté, seule la clé correspondant à l'autre serrure permet l'ouverture de la boîte et vice-versa. Une des clés est privée et conservée secrète, l'autre est dite publique et un exemplaire peut-être obtenu par quiconque souhaite utiliser la boîte.

� Pour chiffrer un message Bob prend la boîte, y place son message, et la ferme à l'aide de la clé publique. Seul le détenteur de la clé privée permettant d'accéder à l'autre serrure, Alice en l'occurrence, sera en mesure de rouvrir la boîte.

� Pour signer un message, Alice le place dans la boîte et ferme celle-ci à l'aide de sa clé privée. Ainsi n'importe qui ayant récupéré la clé publique pourra ouvrir la boîte. Mais comme la boîte a été fermée par la clé privée, cette personne sera assurée que c'est bien Alice, seule détentrice de cette clé, qui aura placé le message dans la boîte et fermé ladite boîte.

Le niveau humainLe niveau humain

Impliquer l'utilisateur en le sensibilisant (ce cours)

Garder à l'esprit que toute attaque trouve son origine dans une défaillance humaineson origine dans une défaillance humaine

105

« Le plus gros bug en informatique est celui qui se

trouve entre la chaise et l’ordinateur »

La charte informatiqueLa charte informatique

Reponsabiliser l'utilisateur par un outil de prévention

code du travail article L.121-8 :« Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. »

on ne peut surveiller l'activité d'un employé si celui-ci n'est pas prévenu !

106

Contenu de la charteContenu de la charte

Doit préciser le comportement attendu de l'utilisateur du système en gardant le respect de la déontologie et du droit

1- Qui est autorisé à utiliser les ressources réseau ?

2- Quelles sont les utilisations normales de ces ressources ?2- Quelles sont les utilisations normales de ces ressources ?

3- Qui est autorisé à donner des droits aux autres utilisateurs ?

5- Quels sont les droits et responsabilités des utilisateurs ?

6- Quels sont les droits et responsabilités des administrateurs ?

7- Que faire avec les informations sensibles ?

8- Quelle politique de mot de passe ?

107

CCAS PRATIQUEAS PRATIQUE

Établir votre version de charte informatique de l‘école en justifiant

chacun des articlesinformatique de l‘école en justifiant

chacun des articles

108