Sécurité des systèmes d’information

Jean-Yves MarionUniversité de Nancy

Loria

Jean-Yves.Marion@loria.fr

Quelques principesdu

monde numérique

Un monde incontournable !

• Communication : internet, portables, voix sur IP

• Commerce : en ligne, logistique• Transports : GPS, sécurité, conduite

• Industrie : CAO, gestion, outillage• Science : Modélisation et simulation• Médecine : imagerie, implants, chirurgie

• Environnement : moteurs, vlib

Un monde discret

FFD8FFE000104A46494600010101004800480000FFE11AB845786966000049492A000800000007000F010

Numérisation

Numérisation

• Autrefois : – Association entre l’information et son support.

• Maintenant : – Support indifférencié.

– Toute l’information circule dans des réseaux d’objets.

– L’information transportée est traitée.

Traitement de l’information

Les 4 piliers selon G. Berry1. Le matériel

2. Le logiciel3. L’interface homme-machine4. Les bugs

Voir conférences au Collège de France

Donnée ou programme ?#include <stdio.h>int main (int argc, const char * argv[]) {FILE *fi, *fo;char *cp;int c;if ((cp=argv[1]) && *cp!='\0') {if ((fi=fopen(argv[2],"rb")) != NULL) {if ((fo=fopen(argv[3],"wb")) != NULL) {while ((c=getc(fi)) != EOF){if (!*cp) cp=argv[1];c ^= *(cp++);putc(c,fo);}

fclose(fo);}fclose(fi);}}}

880400017C0207754082FFD8386000014E800020880300007C0007747F80100040BE00104BFFF …

Compilation

Insertion

Informatique ubiquitaire

• Objets communicants

• IPV6 = 2128 (soit environ 3,4 x 1038) identités numériques possibles

Les bugs

Les bugs

• Comportement anormal d’un système :– Système d’exploitation, traitement texte, …

– Voitures, fusées, …

– Distributeurs de billets, réservation, …

• Dus à une défaillance de conception• Inévitables• Coût annuel global : 100 milliards de $/an

(DoC)

Sûreté informatique• Ingénierie du logiciel

– Une discipline difficile– Coût financier, time to market

• Vérification ou de la chasse aux bugs– Test (Osmose du CEA)

– Méthodes partielles • Modèle checking (J. Sifakis)

• Interprétation abstraite (P. Cousot)

– Méthodes totales• Logique (G. Huet)

• Esterell (G. Berry)Verrous scientifiques

Bugs, Failles et Sécurité• Un bug provoque une faille dans le système• Une faille exploitable est comme une porte • Vulnérabilité (e.g. 0-days)

Certification

int main(int argc, char *argv[])

{ char buffer[4];

strcpy(buffer, argv[1]);

return 0;}

int main(int argc, char *argv[])

{ char buffer[4];

strcpy(buffer, argv[1]);

return 0;}

Ø Besoin de certification en sécuritéü Analyse de la sûretéü Recherche de vulnérabilitéü Recherche d’exploitü Reprise après incident

Ø Besoin de certification en sécuritéü Analyse de la sûretéü Recherche de vulnérabilitéü Recherche d’exploitü Reprise après incident

Buffer OverflowBuffer Overflow

La sécurité

Cloud Computing • Utilisation simple

– Facebook– Gmail

• Start-up, PME

• Entreprise– Amazon– Google

– Microsoft

Sécurité & Cloud Computing• Faille de sécurité chez l’hébergeur (i.e. cloud)ü Données sensibles sont traitées à l’extérieureü Sécurité et Confiance

• Attaque par les autres clients de l’hébergeurü Ressources partagées avec des partenaires de confianceü Contrôle d’accèsü Chiffrement

• Disponibilité des données

Sécurité & Cloud Computing

Nouvelles questions

• Où sont stockées les informations ?• Quelle est la juridiction du pays hébergeur ?• Définir des contre-mesures• Relations contractuelles

Droit à l’oubli

• Charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche (13/10/2010)

• Protection de la vie privée

Les solutions de défense

1. Sécurité des informations2. Gestion du risque

3. Sûreté des systèmes

Sécurité des informations

• Définir une Politique de sécurité1. Confidentialité

– Protéger les données sensibles– Menaces : intrusion et vol de données

2. Intégrité– Les données sont préservées, non altérées

– Menaces : usurpation d’identité, fausses infos

3. Disponibilité– Les services et les données sont disponibles– Menaces : dysfonctionnement (Déni de Service)

Solutions invisibles• Cryptographie (J. Stern)• Protocoles (V. Cortier)

– SSL, Kerberos, …

• Contrôle d’accès– Classification des données,– Niveaux de sécurité, Firewalls– Mot de passe, biométrie

• Facteurs humains

Gestion du risque

• Aspects organisationnels • Aspects contractuels

• Aspects normatifs• Aspects légaux

Conséquences• Coût pour l’Europe = 350 milliards (EOS)

• Direct– Coût suite au vol

– Réparation– Interruption activité

• Indirect– Perte d’image et de clients

– Assurance, poursuite judiciaire– Risque boursier

• Difficile à savoir …

La virologie

Un virus est un virus,

A. Lwoff

Virologie

VirusFaille

Ingénierie socialeMutations

infection

Propagation

Cibles• Sociales

– Tout le monde, Entreprise, Administration, Militaire– Interconnexion des réseaux facilitent la propagation

• Matérielles– Ordinateurs, sites web, imprimantes, …– DVD, Clés usb, ipod, téléphones, pda, RFID …

• Logicielles– Suites Office, emails, pdf, video, …

Historique

• 1970 à 1990: De la genèse aux premières infections

• 1990 à 2000: Sophistication

üMoteur de mutation (Dark Avenger)

üMacro-Virus

• 2000 à 2005: l’âge d’or des vers– Melissa (100 millions de $)

– I Love You (milliards de $)

Historique

• 2005 à 2010: Cybercriminalité et émergence de la Cybersurveillance– Plusieurs vecteurs d’infection

– Sophistiqué et discret

– Contrôlé à distance

– Vers : Ghostnet, Conficker, StuxNet

– Botnets : Storm, Waledac, Mariposa

StuxNet 2010 : a great story !

• 100 000 machines dans 155 pays• Attaque sur des infrastructures

– Micro-code de Siemens, PLC, SCADA

– Cible : les centrales nucléaires ?

• Conception sophistiquée– 5 personnes pendant 6 mois

– Conçu par le gouvernement américain ou israélien ?

Attaques virales• Fishing

• Botnet– Mariposa = 14 millions de PC

• Malware– Un nouveau malware peut être produit toutes les 45

secondes

• Faux point d’accès

• Spam– 107 milliards de spam en 2009, 85% par les botnets

• Chiffres : Economie souterraine = 100 milliards (EOS)

Botnets

Détection des Malwares

Il y a plus d’allégresse à assaillir qu’à défendre, Montaigne, les essais

Détection AV

• Signatures syntaxiques

• Expressions régulières• Construction semi manuelle des signatures

Stoned.A Virus

Your PC is now Stoned! …..LEGALISE.MARIJUANA!

Signature LEGALISE

Mutations

Stoned.A VirusYour PC is now Stoned! …..LEGALISE.MARIJUANA!

Signature LEGALISE

Stoned.B VirusYour PC is now Stoned! …..LEGALIZE.MARIJUANA!

MutationMutation

Ø Contourne la détection facilement

Composants d'un antivirus type

Moteurdétection

Unpacker

Analyseprogrammes

Collecteéchantillons

Classificationprécoce

Constructionsignature

Evaluationfaux-positifs

Support

Packagemail,firewall...

Détection des Malwares

Il y a plus d’allégresse à assaillir qu’à défendre, Montaigne, les essais

Analyse de code binaire

• Désassemblage indécidable– Combinaison analyse statique/dynamique

– Camouflage

• Programmes auto-modifiants– Packers

– Compression

– Bootloader

– Just in Time Compiler

• Représentation abstraite de haut niveau

Analyse des protections

Un packer

Themida

AV

• Comment tester les AV ?• Autres solutions

– Meilleure protection• Moins de bugs

• Compilation certifiée• Certification sécurité

– Meilleure détection• Analyse comportementale

• Analyse morphologique ?

Détection des Malwares

Il y a plus d’allégresse à assaillir qu’à défendre, Montaigne, les essais

Détection Morphologique

Signatures

Détection morphologique

¡ Repose sur la structure des programmes

¡ Avantagesl Plus robuste aux mutations localesl Détecte plus de variantesl Prend en compte la sémantiquel Construction automatisée des signaturesl Fondements scientifiques solides

Voir un Virus

Architecture

Taille des signatures complètes

Résultats

Insertion dans les AV

Moteurdétection

Unpacker

Analyseprogrammes

Collecteéchantillons

Classificationprécoce

Constructionsignature

Évaluationfaux-positifs

Support

Packagemail,firewall...

Autres applications

• Gestion des configurations– révisions et des versions

• Gestion du risque• Détection de code

– plagiat

IDC 2009

Un nouveau monde aux pieds d’argile

Le chat n’est pas tenu de vivre selon les lois du lion. Spinoza

Enjeux géopolitiques• Virus est une arme

– Camouflage, Blindage, Chiffrement, …

• Activités de renseignements– Cyber-criminalité– Espionnage

– Guerre informatique– Cyber-terrrorisme

Espionnage ciblé

Cyber-menaces

• Estonie/Russie en 2007• Géorgie/Russie en 2008

• Etats-Unis/Corée du Sud/Corée du Nord en 2009 – Variante du ver Mydoom

• Google/Chine en 2009– Suite à l’interception des emails de dissidents

Conclusion• Sécurité informatique

– Incontournable – Recherche fondamentale

– Nécessité d’une recherche indépendante• Labo de haute sécurité (LHS) civil au Loria (Nancy)

LHS

• Laboratoire de haute Sécurité– Télescope

– Eprouvette

Recherche/Expérimentationet Valorisation

Bibliographie• Anne Bonfante, Jean-Yves Marion, « Les paradoxes de la défense virale : Le

cas bradley ». Misc, volume 28, pp : 4-7, 2006.

• Jacky Akoka, Isabelle Comyn-Wattiau, « Encyclopédie de l’informatique et des systèmes d’information », Paris : Vuibert, à paraître fin novembre 2006.

• Mark Stamp, « Information security : Principles and practice », Wiley, 2005

• Melanie Rieback, Bruno Crispo, Andrew Tanenbaum, « Is your cat infected with a computer virus ? », IEEE Percom, 2006

• Jean-Yves Marion, Matthieu Kaczmarek, A qui profite le cybercrime ? Pour la science, 2010

• http://www.nitrd.gov/pubs/csia/csia_federal_plan.pdf : les rapports américains en ligne

• http://ec.europa.eu/justice_home/fsj/privacy/index_fr.htm : site de la commission européenne sur la protection des données

• Conférence au collège de France sur la sécurité informatique en 2011, M. Abadi

Bibliographie• http://www.journaldunet.com : journal en ligne sur les NTIC

• www.ssi.gouv.fr : site gouvernemental d’information sur la SSI

• www.clusif.asso.fr : site du Club de la Sécurité des Systèmes d’Information Français, dédié à l’analyse de la sinistralité dans le monde informatique

• www.cnil.fr : site de la Commission Nationale de l’Informatique et des Libertés www.foruminternet.org : site du Forum des droits sur Internet.

• La revue MISC pour les hackers : http://www.miscmag.com/fr/

• France Culture, Place de la toile, émission sur le LHS.

Laboratoire de haute sécurité à Nancy : lhs.loria.fr

Un film : http://www.youtube.com/user/InriaChannel#p/u/2/e53iVqdj7uY

Bibliographie• Gérard Berry, Leçon inaugurale au Collège de France, huit cours sur le

monde numérique : http://www.college-de-france.fr/default/EN/all/inn_tec/

• Pierre Lasbordes, « La sécurité des systèmes d’information : un enjeu majeur pour la France » Premier ministre 2006. http://www.ladocumentationfrancaise.fr/rapports-publics/064000048/index.shtml

• Nicolas Curien, Pierre-Alain Muet, « La société de l’information », Rapport du Conseil d'analyse économique (CAE) n°47, Paris : La Documentation française, 2004. http://www.ladocumentationfrancaise.fr/catalogue/9782110055347/

• Philippe Chantepie, Marc Herubel, Franck Tarrier, « Mesures techniques de protection des œuvres & DRMS. 1ère Partie : Un état des lieux », Rapport n°2003-02 — (I), Janvier 2003. www.culture.gouv.fr/culture/cspla/Mptdrms.pdf

• Eric Filiol, Jean-Yves Marion, « La virologie informatique », Pour la science, n° 55, 2007.