La Sécurité Informatique en 5 minutes

Présentation 15 Janvier 2008

• Sommaire– Orcanthus

• Éléments clefs• Date clefs• Pérennité

– Les risques– Les solutions– Comment procéder ?– Le Coût et le R.S.I. (R.O.I.)– Les Références

Éléments Clefs

• Id3 semiconductors (maison mère)

– Activité : Laboratoire de R&D– Création : 1990– Capital : 200000 euros– Effectif en 2008 : 38 dont 70% d’ingénieurs

– C.A. : 37 M euros– R&D : 20% du C.A.– Spécialité : imagerie, capteur communicant,

biométrie, radio, micro-électronique– Une filiale : Orcanthus

Éléments Clefs

• Orcanthus– Activité : Fabricant– Création : 2002– Capital : 26000 euros– Effectif en 2008 : 2– C.A. : 600 k euros– Présence internationale ; Canada, USA, Mexique,

Brésil, Afrique du Sud, Sénégal, Danemark, Allemagne, Suisse, Italie, Slovénie, Pologne, Japon.

– Produits : lecteur d’empreinte digitale, lecteur sans contact, control d’accès logique, control d’accès physique et traçabilité.

Dates Clefs

• 1998– collaboration avec Thomson-CSF pour le premier capteur thermique à balayage

• 1999– Première mondiale : lecteur d’empreinte et lecteur de carte à puce combiné avec la

solution « Full in card matching ».• 2002

– naissance du lecteur Biothentic® et du pack Biothentic® Gull (log on de PC sur « Full in card matching » et possibilité de PKI

• 2003– naissance du lecteur CeRtiS® et du pack CeRtiS® Gull (log on de PC) sous Windows®

• 2004– évolution de CeRtiS® Gull (log on de PC et SSO) sous Windows®

• 2005 – Disponibilité d’un driver Linux pour lecteur CeRtiS® image– Naissance du lecteur CL1356 T et C – lecteur de passeport électronique ICAO le plus

rapide au monde– Mise a disposition du Pack CeRtiS® HAWK (log on de PC, SSO personnel, SSO entreprise)

avec token soft• 2006

– Mise à disposition du Pack CeRtiS® Hawk avec token Hard (contact et ou sans contact)• 2007

– Naissance du lecteur CL868i– Nouvelle génération de CeRtiS® Bio

• 2008– Bientôt disponible :

• CeRtiS® HAWK pour Citrix et client léger, • CeRtiS® Eagle (idem Hawk pour LDAP)• Interrupteur de porte biométrique ARX1

Pérennité

• Rentabilité et seuil de performance sans cesse en croissance

• Aucun endettement• Équipe de développements R&D et de

consultants expérimentés depuis l’origine

Les Risques

• Quelques chiffres

Perdus/Volés714,000 aux USA en 200331,400 plaintes déposées

ces 6 derniers mois

Perdus/Volés942,000 aux USA en 2003

200,000 plaintes déposées ces 6 derniers mois

Perdus/Volés673,000 en 2003

11,300 plaintes déposées ces 6 derniers mois

Perdus/Volés520,000 en 2003

Assistants Numériques (PDA)

Portables PC

Téléphones

Piratage de Pirate …

• Terminologie de base … – White hat– Black hat– Red teams– Phreaking– Script Kiddies– HackersCrackers

… et on peut aussi parler de …

• Cheval de Troie• Craqueur de mot de passe• Analyse de fichier Log• Technique de données cachées• Vol de données sur réseau radio• Spoofing• Ping on Death (demande d’echo ICMP)• Smurf (ping 3-way) • Et plus encore …

Attaques et menaces

• Types d’attaques – Espiègle– Malicieuse

• Vol de données• Interruption d’opération• Revanche• Problèmes personnels

– intentionnelle– Tester votre sécurité

Vulnérabilités niveau 1

• Corruption– DNS USA hors service pendant 8 hrs- 1998– ILOVEYOU mobile et mutant – 2000

• Dénégation de service– Melissa – 1999– E-commerce – 2000

• Fuite d’information– KLEZ enregistreur de frappe - 2002– Directeur de la CIA avec des Données classées sur

son PC familiale– Aldrige AMES (CIA) espion pour la Russie - 1973

Classifications

• Activistes• Club d’Initiés• Compétition• Consultants• Cinglés à louer• Cinglés• Clients• Cyber-criminels• Gens malades• Cartels de drogue• Économique• Agent étranger et espions• Fraudeurs• Coalitions Mondiales• Agences gouvernementales• Pirates informatique• Truands• Experts en espionnage

Industriel• Informations militaires

• Infrastructures militaires• Initié (interne)• Personnel de maintenance• Fondateur de Microsoft• Organisations militaires• Nations, états• Nature• Crime organisé• Groupes Paramilitaire• Police• Détectives Privé • Voleurs Professionnels• Reporters• Terroristes• Bandes organisées• Vandales• Vendeurs• Agent de circulation

Classification (d’après Fred Cohen & associates)

• …• Attaque 17 — plongeur en ordures/poubelle PC• Attaque 21 — ingénierie humaine• Attaque 25 — insertion pendant le transit• Attaque 26 — observation pendant le transit• Attaque 27 — modification pendant le transit• Attaque 35 — notice d’exploitation inexacte• Attaque 48 — carotteur de données• Attaque 49 — bug Van Eck• Attaque 55 — surfer par dessus l’épaule• Attaque 56 — rassemblement de données• …

Classification (suite)

• …• Attaque 58 — attaque du contenu• Attaque 61 — hang-up hooking (TCP SYN)• Attaque 63 — débordement de données (buffer overflow)• Attaque 64 — insertion de valeur illégale (neg. dates)• Attaque 69 — introduction de défaut de charge (reroute)• Attaque 71 — fausse mise à jour• Attaque 72 — attaque de réseau et de protocole• Attaque 73 — distribution d’attaques organisées• Attaque 74 — intermédiaire• Attaque 84 — attaque sous le seuil• Attaque 93 — attaque au salami• … etc ….

La solution

1. Connaître son réseau2. Analyser son trafic3. Mise en place d’une authentification forte (trois

facteurs)4. instaurer des règles de sécurité, informer les

utilisateurs, et appliquer les règles à la lettre5. Connaître ses voisins6. vérifier régulièrement les logs7. faire une copie régulière des données et sous bonne garde8. mettre des filtres puissants9. Ne pas croire que ça n’arrive qu’aux autres10. Savoir qui appeler en cas d’urgence

Oui, mais ….

Retour à l'articleSécuritéLes mots de passe informatiques dans les entreprises : encore des efforts à faire !C'est bien connu : les plus grandes menaces pour la sécurité informatique des entreprises viennent des utilisateurs eux-mêmes. Le spécialiste de la sécurité des données Safenet vient de publier une étude sur l'utilisation des mots de passe au sein des entreprises. Elle est le résultat d'enquêtes menées en France, en Allemagne, au Royaume-Uni et aux Etats-Unis auprès de 67 000 personnes. Par rapport à 2003, il apparaît que 68 % des entreprises consultées ont renforcé leur politique de sécurité en exigeant des mots de passe de plus en plus longs ou de plus en plus compliqués d'une année sur l'autre. La plupart des personnes interrogées ( 30 % ) doivent désormais renouveler leurs mots de passe jusqu'à sept fois et plus par an . En France, les résultats montrent une augmentation de 4 % des employés contraints de changer de mot de passe cinq à six fois par an et le nombre de ceux ne changeant jamais leurs mots de passe a diminué de 3 %. La complexité croissante des mots de passe se manifeste d'une part par l' augmentation du nombre de caractères et, d'autre part, par l'introduction croissante de composantes alphanumériques . En 2004, 29 % des employés interrogés utilisent des mots de passe avec des composantes alphanumériques contre 27 % en 2003. 26 % des entreprises utilisent des mots de passe de huit caractères et plus . La France enregistre ainsi la plus forte croissance parmi les pays représentés avec 5 % d'augmentation. Tous ces chiffres témoignent d'une importante prise de conscience de l'importance des mots de passe. Pourtant, l'augmentation de la longueur et la complexification des mots de passe ne sont pas toujours positives. Selon l'étude de SafeNet, 47 % des personnes interrogées ont de cinq à dix mots de passe différents pour accéder aux applications de leur entreprise. Avec des mots de passe de plus en plus longs, compliqués et renouvelés plus souvent, les risques en termes d'utilisation sont accrus : les utilisateurs sont en effet souvent amenés à les noter sur un papier ou les oublient tout simplement. 65 % des personnes interrogées affirment ne jamais partager leurs mots de passe avec autrui (soit une augmentation de 6 % par rapport à 2003) et 35 % seulement l'ont communiqué (soit une diminution de 6 %). En France, contrairement aux autres pays, SafeNet a constaté une augmentation des utilisateurs qui notent leurs mots de passe. Ainsi, dans une entreprise de 1000 personnes, 500 écrivent les mots de passe et 350 le communiquent à autrui ! (Atelier groupe BNP Paribas - 10/03/2005)

Une réponse en 5 minutes …

• CeRtiS® HAWK avec Token– Log on avec authentification 3 facteurs

• Ce que je sais• Ce que j’ai • Ce que je suis

– SSO (Single Sign On) simple et efficace

Un SSO pour quoi ?

La prolifération de mots de passe, conséquence d’une politique de sécurité OBLIGATOIRE, complique les conditions de travail de l’utilisateur.

Cela entraîne, une rupture des règles de sécurité, et engendre des coûts pouvant atteindre des sommes astronomiques.

•Un SSO va répondre à vos besoins en matière de sécurité pour

– Protéger toutes vos données– Protéger tous vos accès logiques– Gérer les mots de passe :

• Sans que cela ne coûte (estimation 2006 : 150 euros par an et par personne)

• Sans que cela ne soit contraignant• Sans que cela ne soit falsifiable • Sans que cela ne soit copiable• Sans que cela ne soit transmissible

Un SSO pour qui ?

Au sein de l'entreprise, la valeur associée au Single Sign-On (SSO) est souvent limitée au confort qu'il apporte aux utilisateurs, leur permettant de se libérer de la contrainte de la gestion de multiples identifiants et mots de passe.

Cependant, le SSO apporte de réels gains dans les domaines de la productivité des services informatiques ainsi que dans le domaine de la politique de sécurité.

Pour les services informatiques, il permet par exemple de réduire jusqu'à 30% la charge de Help desk.

Les analyses ont effectivement démontré que, sans SSO, 30% des appels à un help-desk concernent un problème de perte d'identifiant ou de mot de passe.

Pour la politique de sécurité, un SSO permet de limiter le nombre de mots de passe triviaux ou affichés sur un Post-IT sur l'écran du poste de travail.

Un SSO surtout …

En environnement Microsoft®, Windows 2000 et Windows 2003 fournissent une gestion des utilisateurs via la console Active Directory et un SSO vers toutes les applications Microsoft basées sur Kerberos.Les clients Windows 2000/2003 se connectent de manière transparente aux applications basées sur Kerberos comme Microsoft IIS ou aux applications basées sur SSPI dans des domaines Windows 2000.

Cependant, les utilisateurs de Windows ne peuvent pas se connecter automatiquement à des applications non-Kerberos comme par exemple, les émulateurs mainframe, les multi-logins SAP R/3, Lotus Notes, les applications sous Apache, WebSphere et les applications Unix ou Linux.

Avec un SSO de type HAWK, ou EAGLE, vous pouvez étendre l'authentification Microsoft Kerberos à toutes les applications du système d'information.

Attention !

Le système d'information des entreprises devient l'objet de plus en plus fréquent de lois et réglementations.Au-delà des simples normes et standards de type ISO qui ont jalonné le développement des nouvelles architectures, le législateur s'est intéressé à la relation entre l'utilisation de l'informatique par les organisations et son impact sur les processus opérationnels.

Les lois et réglementations assurant la protection des données privées des clients et prospects ont eu le plus large écho ces dernières années. Le développement de la messagerie et l'application des méthodes de Marketing Direct ont relancé le débat à tous les niveaux.Cependant, il existe de nombreux autres cas de lois définies par le législateur s'appliquant au système d'information.

Avec un "SSO Sécurisé" on peut aider à répondre aux exigences légales.

Comment procéder

1 - Remplir une demande d’autorisation aupres de la CNIL

D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée.

Ça peut faire mal !Le non accomplissement des formalités auprès de la CNIL est passible de  5 ans d'emprisonnement et 300 000 € d'amende. La CNIL a récemment mis en demeure  une société ayant mis en œuvre un dispositif de contrôle d’accès basé sur l’empreinte digitale sans son autorisation préalable.

Comment procéder

2 – Installer un CeRtiS® Hawk avec Hard token (pour la CNIL) sur chaque station

3 – enrôler chaque utilisateur sous l’œil vigilant de l’administrateur

4 – continuer à travailler

À ce stade, vous avez rejoint le club des utilisateurs de CeRtiS®

Le coût et le R.S.I. (ROI)

Les Références

• Mécanique – Gunebo Deutschland, WAB

Sicherheitssysteme, • Agroalimentaire

– Agrimol, Cash n' carry, Maxims, Fairfield Dairies, Landskron Farm, Rolou Farm,

• Médical– Sebokeng Hospital, Jaques Persat, MSE,

• Textile– Boston Laundry, Fibre logic,

• Hôtellerie– Aventura Resorts,

• Minier– Oil Co, De Bears,

• Transport, courrier– HRP, Sun UTI, Prodata

• Electronique– Sonae, Sagem, ATMEL, STM, Chronix,

fujitsu, Silicomp, NASA, Ingenico• Imprimerie

– Mithratech, Minit Print, Universal Web, François Charles Oberthur,

• Industrie du caoutchouc, plastique– Palmer Rubber, Veloflex, Xactics Plastics,

Everest Flexibles, • Parfumerie négoce

– Gazzaz,• Bancaire

– Caisse d’épargne de Côte d’ivoire, Banque Santander,

• Carte d’identité– Costa Rica gvt, Guinée gvt, Salvador gvt.

• Intégrateur, développeur– Avencis, Idactis, Keyvelopp, sigillum,

Chaka group, IBM, SCB, AKURA, Scrypto, Be smart Ultimobyte,

• Militaire– armée Française (site stratégiques),

Armée Danoise, • Encarteur

– Giesecke & Devrient ,Oberthur Card system, Gemalto, FCO, HI,

• Autres– Les plus Hautes instances du

gouvernement Français

Maintenant c’est à vous de choisir.

Merci de votre attention

Luc DEVAUX - Luc.devaux@orcanthus.com