Embed Size (px)
Citation preview
Les enjeux de la sécurité
informatique
1 École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI
MGR850 – Automne 2015
Chamseddine Talhi
Responsable du cours
Plan
• Motivations & contexte
• Actualités
• Quelques définitions
• Vulnérabilités – porte d’entrée
• Objectifs de la sécurité
• Analyse de risques
• Contre-mesures: traditionnelle vs. holistique
• Conclusion
2
• Effet surprise
Cheval de Troie
3
Chamseddine Talhi, ÉTS
Motivation & Contexte
• Chemins non empruntés auparavant
Traversée des Alpes
(Hannibal 218 av. J.-C)
Motivation & Contexte
4
Chamseddine Talhi, ÉTS
Motivation & Contexte
5
Pointe de l'iceberg
Les victimes ne déclarent pas les
violations
Les incidents les plus visibles sont les
plus médiatisés
Exemple - Les banques ne sont pas
obligés de divulguer les vols effectués
sur les comptes de leurs clients.
Chamseddine Talhi, ÉTS
6
Chamseddine Talhi, ÉTS
Motivation & Contexte Un classique: les malwares (virus )
Snifula (Sep 2014) : trojan qui a attaqué les institutions financières japonaises.
njRAT (2013-2015) : qui a attaqué les institutions financières au moyen orient.
Statistiques de nouvelles variantes de malwares :
Environ 1 million de
Malware par jour
7
Chamseddine Talhi, ÉTS
Motivation & Contexte
Marché mondial du logiciel de sécurité : croissance de 5,3% des revenus en
2014:
2014 : 21,4 milliards de dollars
2013 : 20,3 milliards de dollars
Carbanak
100 institutions financières sont victimes d’attaques informatiques par un
groupe inconnu, depuis fin 2013.
Les attaques ont atteint 1 milliard de dollars .
Dans certains cas, une seule attaque aurait permis de dérober jusqu’à 10
millions de dollars.
8
Chamseddine Talhi, ÉTS
Motivation & Contexte
9
Chamseddine Talhi, ÉTS
« 2000 échantillons de logiciels malveillants Android découverts chaque jour »
(Sophos, 2014)
SOURCE: Sophos, “Mobile Security Threat Report”, 2014, http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobile-security-threat-report.pdf
2 ans d'évolution de logiciels malveillants mobiles
20 ans d'évolution de logiciels malveillants de bureautique traditionnels
Motivation & Contexte
Actualités!
10
5 août - Royaume-Uni : les données de 2,4
millions clients de Carphone piratées Carphone : un des plus importants distributeurs de smartphones au
Royaume-Uni.
Ce piratage massif pourrait impliquer le vol des détails de 90 000 cartes
bancaires.
Cette attaque sophistiquée a probablement été lancée deux semaines
avant sa découverte.
La compagnie a aussitôt annoncé la fermeture des sites Internet affectés,
pris des mesures pour déterminer la nature des données compromises et
informer les clients concernés par cette attaque.
Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Actualités!
11
20 juillet - Ashley Madison piraté : l'identité
de 37 millions d'infidèles bientôt dévoilée
Cyber-pirates ‘Impact Team’ menace de diffuser les coordonnées
de 37 millions clients ainsi que toutes sortes de documents confidentiels si ce
site ainsi qu'Established Men ne sont pas mis hors ligne!
Dérobés chez d'Avid Life Media : détails concernant l'infrastructure IT
du site, données de ventes et marketing, d'autres relatives aux clients, etc.
« Nous les avons complètement piraté et pris l'ensemble de leurs
domaines de production et de bureautique, les bases de données de tous leurs
clients sur plusieurs années, les répertoires de code source,
des enregistrements financiers, de la documentation
et des e-mails. Et cela a été facile.
Pour une société qui promet d'être discrète,
c'est comme s’ils n'avaient jamais cherché à l'être »
Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Actualités!
12
20 juillet - Ashley Madison piraté : l'identité
de 37 millions d'infidèles bientôt dévoilée Afin de prouver l'existence de ce piratage et faire pression sur ALM,
40 Mo de données ont été mis en ligne, incluant des détails partiels de
transactions bancaires ainsi que d'autres documents provenant des données
serveurs d'ALM.
Certains fichiers sont relatifs à des craintes de sécurité multiples
émises par la société : défaillance de processus, mise en défaut de la
gouvernance, vulnérabilités XSS et injection SQL, infections de malwares
sur le réseau, attaques man-in-the-middle
On apprend qu'ALM a gagné 1,7 million de dollars
en 2014 en facturant 19 dollars les utilisateurs souhaitant
faire disparaître leurs informations personnelles sur le site!
Détails publiés en ligne le 19 août!
Fin mai, 3,9 millions d'adresses mail piratés du site
AdultFriendFinder en mars dernier, a été mise en vente
pour 70 bitcoins …
Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Actualités!
13
Piratage des voitures!
2013 : vulnérabilités exploitées:
https://www.youtube.com/watch?v=oqe6S6m73Zw
2015 : Une Jeep piratée à distance par 2 hackers
2015 : une autre démo: https://www.youtube.com/watch?v=3jstaBeXgAs
Chamseddine Talhi, ÉTS
Source: http://www.lemondeinformatique.fr
Actualités!
14
Piratage des voitures!
• Chrysler rappelle 1,4 million de voitures exposées à un piratage à distance
quelques jours après un article de Wired sur la vulnérabilité des véhicules
connectés qui explique comment deux hackers, Charlie Miller et Chris Valasek,
ont réussi à prendre le contrôle d'une Jeep Cherokee fabriquée par Fiat/Chrysler.
• Charlie Miller et Chris Valasek travaillent depuis plusieurs mois avec Chrysler
qui a déjà livré un correctif début juillet. Mais l'attention des médias sur
l’évènement a poussé le constructeur à faire un rappel de ses véhicules.
• « Le piratage à l’origine de ce rappel demande des connaissances techniques
uniques et très complexes, un accès physique prolongé à un véhicule témoin
et beaucoup de temps pour écrire du code ».
• Deux sénateurs américains Ed Markey et Richard Blumenthal ont déposé la
semaine dernière une proposition de loi obligeant les constructeurs automobiles
à mieux protéger leurs véhicules contre les pirates informatiques.
• Projet de loi intitulé Security and Privacy in Your Car Act 2015!
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Actualités!
15
Vulnérabilités et failles!
• Black Hat 2015 : la faille Certifi-Gate permet un contrôle distant sous
Android
• Certifi-Gate permet à des pirates d'accéder sans restriction à l'appareil via des
applications et ainsi, selon Check Point, « de dérober des données
personnelles, localiser les appareils, activer le microphone pour enregistrer
des conversations, et plus encore ».
• Certains fabricants de smartphones ont préchargé de façon non sécurisée des
outils de support à distance sur leurs terminaux Android, ce qui fournit aux
pirates un moyen de prendre le contrôle de ces terminaux à travers des apps
malveillantes ou même des messages SMS!
• Google a confirmé cette vulnérabilité, selon le site Golem. Mais Check Point
rappelle qu'Android ne dispose d'aucun moyen de révoquer des certificats
fournissant des autorisations privilégiées. Seule une mise à jour du système
d'exploitation pourra permettre de supprimer cette faille de sécurité.
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Actualités!
16
Vulnérabilités et failles!
• Les clients BitTorrent peuvent servir à amplifier les attaques DDoS
• Sur la conférence Usenix, quatre chercheurs universitaires ont expliqué
comment des attaques DDoS pouvaient être lancées en répercutant le trafic
généré par des millions d'ordinateurs utilisant BitTorrent.
• Dans un article présenté la semaine dernière sur le Workshop on Offensive
Technologies (WOOT 2015), ils ont montré comment des programmes tels que
uTorrent, Vuze ou le client BitTorrent d’origine (Mainline) pouvaient aider
des attaquants à amplifier jusqu’à 50 fois le trafic DDoS
• Le protocole BitTorrent Sync (BTSync), également utilisé pour la
synchronisation de fichiers peer-to-peer, peut être exploité avec un facteur
d’amplification allant jusqu’à 120
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Actualités!
17
Vulnérabilités et failles!
• Un jeune développeur italien a repéré deux failles zero-day dans l’OS Mac
OS X d'Apple pouvant entraîner la prise de contrôle à distance d’une machine.
• Découverte intervient une semaine après la livraison par Apple d'un correctif
pour la faille (dyld_print-to-file) d’élévation de privilèges dans la version
10.10.x d’OS X.
• Luca Todesco, 18 ans, a publié sur GitHub les détails d'un programme
exploitant deux bogues pour entraîner une corruption de la mémoire dans le
noyau d’OS X. La mémoire corrompue peut alors être utilisée pour
contourner le kernel Address Space Layout Randomization (kASLR), une
technique défensive conçue pour empêcher le code malveillant de
fonctionner. L'attaquant atteint alors le root shell.
• Cette vulnérabilité touche les versions 10.9.5 à 10.10.5 d’OS X, mais pas El
Capitan, la version bêta du prochain OS d’Apple, dont les mécanismes de
sécurité ont été renforcés.
Chamseddine Talhi, ÉTS Source: http://www.lemondeinformatique.fr
Vulnérabilités
18
Chamseddine Talhi, ÉTS
Vulnérabilités Un long chemin: détection, annonce, correction
19
Chamseddine Talhi, ÉTS
Hitachi Vulnerability Disclosure Process
Source: http://www.hitachi.com/hirt/publications/
Une question d’analyse de risque:
Vraisemblance
Impact
20
Chamseddine Talhi, ÉTS
Vulnérabilités
21
Vulnérabilités
Chamseddine Talhi, ÉTS
Source: http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-
Vulnerabilities-Exploits-Patches-and-Security.aspx
22
Vulnérabilités
Jean-Marc Robert, ÉTS
C’est autant de possibilités pour des attaques
• NIST – National Vulnerability Database
(http://nvd.nist.gov/)
• 71319 CVE Vulnerabilities (30 août 2015)
Nom Annonce Exploit Intervalle
SQLsnake 27 novembre 2001 22 mai 2002 176
CodeRed 19 juin 2001 19 juillet 2001 30
Nimda Plusieurs vecteurs
15 mai 2001
6 août 2001
3 avril 2001
18 septembre 2001 126
42
168
Slapper 30 juillet 2002 14 septembre 2002 45
Scalper 17 juin 2002 28 juin 2002 11
Adapté de J. Nazario, Defense and Detection Strategies against Internet Worms, 2004
23
Vulnérabilités De l’annonce à l’exploit!
Jean-Marc Robert, ÉTS
Qu’est ce que la sécurité informatique?
• Sécurité informatique consiste à protéger
– Les renseignements
– Les actifs
• Contre un large éventail de menaces
• Pour
– Assurer la continuité des activités,
– Minimiser les risques d'affaires
– Maximiser le retour sur investissement et les occasions
d'affaires.
Adapté de Norme ISO 17799:2005.
24
• Base de données clients
– Vente et Marketing
• Base de données employés
– Ressources humaines
• Portail web
– Vente directe ou indirecte
• Code source d’une application
– Équipe de développement
• Base de données usagers
– Équipe des TI
Les actifs informationnels représentent l’ensemble des données et des
systèmes d’information nécessaires au bon déroulement d’une entreprise.
25
Qu’est-ce que les actifs informationnels?
Le trio du CID:
En anglais: CIA (Confidentiality, Integrity and Availability)
Confidentialité
Disponibilité
Intégrité
26
Les propriétés
Objectifs de la sécurité
27
Confidentialité
Objectifs de la sécurité
• Menaces
– Surveillance du réseau
– Vol de fichiers
• Fichiers de mots de
passe
• Fichiers de données
– Espionnage
– Ingénierie sociale
• Contre-mesures
– Cryptographie
• Chiffrement
– Contrôle d’accès
• Mot de passe à usage
unique
• Biométrie
– Classification des actifs
– Formation du personnel
Propriété d’une donnée dont la diffusion doit être limitée
aux seules personnes ou entités autorisées.
28
Intégrité
Objectifs de la sécurité
Propriété d’une donnée dont la valeur est conforme à
celle définie par son propriétaire.
• Menaces
– Attaques malicieuses
• Virus
• Bombes logiques
• Portes dérobées
– Erreurs humaines
• Contre-mesures – Cryptographie
• Authentification, signature
– Contrôle d’accès
• Mot de passe à usage unique
• Biométrie
– Système de détection d’intrusion
– Formation du personnel
Si cette propriété n’est pas respectée pour certains actifs, cela peut
avoir des impacts sur la confidentialité d’autres actifs.
29
Disponibilité
Objectifs de la sécurité
• Menaces
– Attaques malicieuses • Dénis-de-service
– Inondation
– Vulnérabilités logicielles
– Attaques accidentelles • Flashcrowd – Slashdot effect
– Pannes • Environnemental, logiciel,
matériel
• Contre-mesures
– Pare-feu
– Système de détection
d’intrusion
– Formation du personnel
Propriété d'un système informatique capable d'assurer
ses fonctions sans interruption, délai ou dégradation,
au moment même où la sollicitation en est faite.
• Définir les besoins.
– Les actifs à protéger et leurs propriétaires.
• leurs valeurs? leurs criticités? leurs propriétés?
– Les menaces représentant des risques.
• les attaquants? leurs moyens? leurs motivations?
– Les objectifs à atteindre.
• Quelles sont les propriétés des actifs à protéger?
• Proposer une solution.
– Les contre-mesures à mettre en place.
• Évaluer les risques résiduels.
– Quelles sont les vulnérabilités toujours présentes.
– Leurs impacts sur les objectifs initiaux. 30
Analyse de risques
Propriétaires
Contre-mesures
Actifs
Risques
Menaces Attaquants
désirant accéder à
représentant à
à
augmentant
désirant minimiser
tenant à
demandant
réduisant
Adapté de ISO/IEC 15408 – Common Criteria. 31
Analyse de risques Schématiquement
Connais ton ennemi et connais-toi toi-même; eussiez-vous
cent guerres à soutenir, cent fois vous serez victorieux.
Si tu ignores ton ennemi et que tu te connais toi-même, tes
chances de perdre et de gagner seront égales.
Si tu ignores à la fois ton ennemi et toi-même,
tu ne compteras tes combats que par tes défaites.
Sun Tzu, approx. 4ième siècle av. JC
32
Analyse de risques Une vieille histoire
Contre-mesures
• Approche traditionnelle
– Se basant sur le fait que les systèmes informatiques sont
intrinsèquement vulnérables,
– Les responsables des TI doivent mettre en place les
moyens de résister aux diverses menaces afin de protéger
les actifs de leurs entreprises.
• Approche holistique
– Attaquer le problème à la source en sécurisant les logiciels
33
34
Approche traditionnelle
Veille technologique à la recherche des vulnérabilités. CERT , NIST, Virus Bulletin, Microsoft, Bugtraq…
• Déployer une infrastructure adéquate résistant aux attaques et assurant l’intégralité des actifs (et leurs propriétés).
– Prévention
• Contrôle d’accès
• Mise-à-jour des logiciels
• Pare-feu, systèmes de prévention d’intrusion (SPI)
– Détection
• Antivirus
• Systèmes de détection d’intrusion (SDI)
• Audit
– Réaction
• Pare-feu
Les objectifs techniques de la sécurité
37
Approche traditionnelle
L’analyse de risque est à la base de cette activité
• Les politiques de sécurité sont des énoncés généraux dictés par
les cadres supérieurs décrivant le rôle de la sécurité au sein de
l’entreprise afin d’assurer les objectifs d’affaire.
• Pour mettre en œuvre ces politiques, une organisation doit être
mise en place.
– Définition des rôles, des responsabilités et des imputabilités
Politiques de sécurité
38
Approche traditionnelle
• NIST –Département du commerce, É.-U. – SP 800-100 Information Security Handbook: A Guide for Managers
– SP 800-97 Draft, Guide to IEEE 802.11i: Robust Security Networks
– SP 800-94 Draft, Guide to Intrusion Detection and Prevention (IDP) Systems
– SP 800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals
– SP 800-41 Guidelines on Firewalls and Firewall Policy
• ISO – ISO/IEC 17799:2005(E) – Code of Practice for Information Security Management.
– ISO/IEC 21287:2002 – System Security Engineering – Capability Maturity Model.
• US-CERT – Software Engineering Institute – Defense in Depth: Foundations for Secure and Resilient IT Enterprises
– Advanced Information Assurance Handbook
• Amazon.ca – 26 111 livres sont proposés en utilisant les mots clé: Information Security
(9 janvier 2012).
• Google.ca – Ce que vous cherchez s’y trouve. Bonne chance!
L’information est disponible – même trop !
39
Approche traditionnelle Mais le problème demeure …
• L’industrie de la sécurité
– En 2010, le chiffre d’affaire du marché mondial de la sécurité du réseau
était estimé a 7,54 milliards de dollars, Firme d’analystes IDC
• Constat
– L’approche traditionnelle sécurisant le périmètre du réseau ne semble pas
adéquate puisque nous avons toujours les mêmes problèmes.
– D’octobre 2011 à février 2012, plus de 50.000 cyber-attaques sur les
réseaux privés et publics ont été signalés au U.S. Department of
Homeland Security, avec 86 de ces attaques ayant lieu sur les réseaux
d'infrastructures essentielles.
• Raison
– La qualité des logiciels.
40
Approche holistique • La sécurité des logiciels est donc critique!
– 50 % des vulnérabilités proviennent des erreurs de
conception.
– 50 % des vulnérabilités proviennent des erreurs
d’implémentation.
• Dépassement de mémoire et d’entier
• Concurrence critique
• Microsoft’s Trustworthy Computing Initiative
– Mémo de Bill Gates en janvier 2002 présente la nouvelle
approche de Microsoft de développer des logiciels sécurisés.
– Microsoft aurait dépensé plus de 300 millions USD.
– The Trusthworthy Computing Security Development
Lifecycle.
41
Approche holistique
• Sécurité du logiciel – Robustesse
– Gestion du risque
• Actifs, menaces, objectifs, …
– Cycle de développement du logiciel
• Construire un logiciel robuste face aux
attaques
– Bases de connaissance
• Rassemblement, l'encapsulation et le
partage des connaissances de sécurité
qui peut être utilisé pour fournir une
base solide pour les pratiques de
sécurité des logiciels
42
Approche holistique
• Intégration d’activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d’efficacité – subjectif) – Code review, Risk analysis, Penetration testing, Security tests, Abuse
cases, Security requirements, Security operations
Specification
Use Cases
Architecture
Design
Test
Plans Code
Tests
Test Results
Feedback
Deployment
Adapté de Software Security by McGraw
•Risk analysis
•Abuse cases
•Security req.
•Risk analysis
•Risk-based
security tests
•Code review
(Tools)
•Risk analysis
•Penetration
testing
•Penetration
testing
•Security
operations
Cycle de développement du logiciel
– http://www.youtube.com/watch?v=EC96jdaNYWo&feat
ure=related
– http://www.youtube.com/watch?v=9H07Hxl_ifQ&featur
e=related
Chamseddine Talhi, ÉTS
43
Esprits criminels Créativité sans limites!
44
Conclusion
• Connaissez-vous vous-même.
– Déterminer les actifs qui doivent être protégés et leurs propriétés.
– Déterminer les objectifs à atteindre.
• Connaissez vos ennemis.
– Déterminer les menaces contre lesquelles ils doivent être protégés.
• Reposez-vous sur les épaules de géants.
– Veille technologique, base de connaissances.
– Principes, guides et règles connues.
Ne jamais dire: ceci est impossible, ils ne peuvent faire cela.
Jean-Marc Robert, ÉTS
