2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama

Les techniques des pirates et et

Christophe [email protected]

Colloque – 7 Octobre 2015La sécurité des systèmes d’information dans les établissements sanitaires et médico

Ministère des Affaires Sociales, de la Santé et des Droits des femmes

Les techniques des pirates et comment s’en protégeret comment s’en protéger

Christophe [email protected]

La sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux

Ministère des Affaires Sociales, de la Santé et des Droits des femmes

Introduction

Les techniques des pirates et comment s’en protéger

Introduction

TOP 10 des failles de sécurité techniques

Le joker des Pirates

Recommandations & conclusion

Introduction

Les techniques des pirates

et comment s’en protéger

1 INTRODUCTION

Introduction

LES FAITS

Toutes les entreprises sont attaquées, indépendamment de leur taille ou de leur activitésont attaquées, indépendamment de leur taille ou de leur activité

Source: DBIR 2015

Le secteur de la santé ne fait pas exception à la règleLES FAITS

Aux USA, les établissements de santé sont tenus dequi permet d’avoir des chiffres fiables et réalistes.

80% affirment que leur système d'information a déjà été touché par une 80% affirment que leur système d'information a déjà été touché par une

Le secteur de la santé ne fait pas exception à la règle

Source: KPMG Healthcare Cybersecurity 2015 Survey

de déclarer les incidents de sécurité informatique, ce

affirment que leur système d'information a déjà été touché par une cyber-attaque.affirment que leur système d'information a déjà été touché par une cyber-attaque.

42,8 millions de cyber-attaques ont été recensées dans le monde en 2014

Des chiffres alarmants

42,8 millions de cyber attaques,

Une augmentation de 48

Le coût annuel moyen attribué

LES FAITS

Des conséquences fortes

Des conséquences fortes

Des cibles diverses et nouvelles

Le coût annuel moyen attribuémillions de dollars en 2014

Soit une croissance de 34

Une forte augmentation(+41% en 2014)

attaques ont été recensées dans le monde en 2014

attaques, soit 117 339 attaques par jour

48% par rapport à l’année précédente

attribué aux incidents de sécurité atteint 2,7attribué aux incidents de sécurité atteint 2,72014

34% par rapport à 2013

des incidents de cyber-sécurité en Europe

Source: PwC 2014

Nos tests d’intrusion démentent souvent les

Discours

� Nous utilisons de nombreux équipements de sécurité !

PARADOXE

équipements de sécurité !

� Nos logiciels sont régulièrement mis à jour !

� Nous avons des anti-virus !

� Nos salariés sont sensibilisés aux risques informatiques !

� On n’a jamais été piraté, pourquoi changer quoi que ce soit ?

Nos tests d’intrusion démentent souvent les discours

Faits constatés lors de nos audits

� Les tests d’intrusion sans restriction quant au mode opératoire parviennent à exfiltrer des données sensibles 9 fois sur 10

� Les méthodes d’attaques mises en œuvre sont souvent basées sur les mêmes principes… depuis 15 ans !

Le piratage, ça n’arrive qu’aux autres ! »

PREMIERES REACTIONS

Pourquoi cette différence entre apparences et réalité?

Nonchalance, laxisme, incrédulité

De manière générale, les entreprises les plus confiantes à l’égard du vol de données …

Le piratage, ça n’arrive qu’aux autres ! »

«de sécurité, nous ne risquons pas grand

Notre personnel a été formé spécifiquement contre l’ingénierie sociale !

Confiance en l’efficacité des mesures

Cet état d’esprit joue en faveur des pirates !

Pourquoi cette différence entre apparences et réalité?

De manière générale, les entreprises les plus confiantes à l’égard du vol de données …

… sont les plus vulnérables!

Nous utilisons les meilleurs équipements de sécurité, nous ne risquons pas grand-chose ! »

Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! »

Confiance aveugle en la technique

Cet état d’esprit joue en faveur des pirates !

Equipements de sécurité

Leur simple présence ne suffit pas !

Sont-ils positionnés judicieusement ?Sont-ils paramétrés relativement à votre environnement ?

Ont-ils des limitations intrinsèques ?

Comme chacun sait, l’humain reste souvent le maillon faible

LES ERREURS

Pourtant ces raisonnements semblent rationnels. Pourquoi sont

Sensibilisation

Nos serveurs n’ont pas été

piratés


Les campagnes de sensibilisation ontQuelle population a été ciblée ? Qu’en est

C’est possible. Mais est

La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates

Leur simple présence ne suffit pas !

ils positionnés judicieusement ?ils paramétrés relativement à votre environnement ?

ils des limitations intrinsèques ?


Pourtant ces raisonnements semblent rationnels. Pourquoi sont-ils erronés ?

Comme chacun sait, l’humain reste souvent le maillon faible d’un SI.

Les campagnes de sensibilisation ont-elles été efficaces ?Quelle population a été ciblée ? Qu’en est-il des nouveaux collaborateurs ?

C’est possible. Mais est-ce un indicateur si fiable que cela ?

La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates



2 TOP 10

Failles de sécurité techniques

Il est parfois plus simple de pirater le matériel que le logiciel!

S’intercale entre le clavier etl’unité centrale

Enregistre toutes les frappesclavier (mots de passenotamment)

Existe en version WiFi, pour

� Si un équipementde ce typedéfinition piratable

� Ce type deaccès directl’équipement

FAIBLESSES DU MATERIEL

Keylogger physique Firewire

Existe en version WiFi, pourexfiltrer les données aisément

A la portée de n’importe qui !(coût : quelques dizainesd’euros)

l’équipementmots de passe

� Matériel peucâble), attaquecomplexespécialisés expérimentaux)

#10Il est parfois plus simple de pirater le matériel

équipement est pourvude port, il est par

piratable !

de port permet undirect à la mémoire de

l’équipement => accès aux

� Tous les systèmes autorisent laconnexion en USB de certainséquipements, sans aucunedemande de confirmation(clavier, souris, carte réseau,etc.)

� Il est par exemple possible de

Firewire BadUSB

l’équipement => accès auxpasse

peu coûteux (unattaque relativement

(logicielsexpérimentaux)

� Il est par exemple possible decréer une souris, qui en fait sefera passer pour un clavierauprès du système.

� Des commandes malveillantesseront alors exécutées sur lamachine, pour la pirater.

Attaquer le matériel est souvent très efficace…

Pourquoi s’embêterà contourner des protections complexes, si on peut attaquer ce qui n’est pas protégé du tout

Problème de confiance au matériel

FAIBLESSES DU MATERIEL

?

Les logiciels n’ont souvent pas d’autre choixque de faire confiance au matériel

Seuls certains protocoles précis utilisent desmécaniques spécifiques pour empêcher cetype d’attaques

Néanmoins, de nombreux protocoleshistoriques (USB…) en sont exempts

Attaquer le matériel est souvent très efficace…

Indétectable & imparable !

#10

Les exemples énoncés ici sont les plusconnus. D’autres attaques basées sur lemême principe existent.

Elles ne sont pas détectables sans matérielparticulier, et ne peuvent pas facilement êtrebloquées (à moins de mettre en œuvre unparamétrage très contraignant)

Par conséquent, la paranoïa est de mise :n’acceptez aucun cadeau informatique! (clefsUSB, souris, haut-parleur externe, etc.)

Les erreurs courantes

� Accès au matériel informatique

Nota beneFAIBLESSES DU MATERIEL

A RETENIR

� Accès au matériel informatique par des inconnus / externes

� Branchement de matériel personnel

� Matériel d’origine externe (clé USB, chargeur, téléphone, etc.)

Les bons réflexes

� Contrôle d’accès systématique : clé, badge, biométrique, …

� Si ce n’est pas possible, le

#10

� Si ce n’est pas possible, le matériel doit être au minimum verrouillé (authentification nécessaire avant utilisation)

� Sensibilisation des utilisateurs

� Ecriture et respect d’une charte informatique

Exemple : le chiffrement des données

Les données informatiques sont précieuses : métaphore du bijoux

CRYPTOGRAPHIE MAL UTILISEE

� Les bijoux précieux sont souvent stockés dans

des coffres forts

� Ces coffres rendent le vol beaucoup plus

difficile

Malheureusement, un serveur informatique le coffre doit donc rester

Exemple : le chiffrement des données

précieuses : métaphore du bijoux

#9

Problème : le coffre-fort n’offre plus aucune sécurité dès lors que plus aucune sécurité dès lors que l’on souhaite porter ses bijoux !

serveur informatique se sert en permanence des données : rester ouvert !


CRYPTOGRAPHIE MAL UTILISEE

� Sentiment de sécurité lié au jargon ou aux discours commerciaux

A RETENIR

� Pas de chiffrement d’un périphérique nomade

� Chiffrement appliqué au mauvais endroit, ou partiellement

� Chiffrement totalement transparent pour l’utilisateur

Les bons réflexes

#9

� Mise en doute systématique de la sécurité : demande des certifications, audits, etc.

� Chiffrement total des supports susceptibles d’être perdus / volés / accédés

� Chiffrement nécessitant une authentification (passphrase, ou mieux, TPM)

Les applications que vous utilisez quotidiennement se présentent sous diverses formes

Application Web / Client léger

• Technologie très classique

• Technologie très connue

MAUVAISE ARCHITECTURE APPLICATIVE

• Technologie très connue

• Interopérabilité maximale (navigateursstandards)

• Ergonomie parfois peu adaptée auximpératifs métiers (point en amélioration)

• Vulnérable à des attaques classiques (e.g.Top 10 OWASP)

Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ?

Les applications que vous utilisez quotidiennement

Client lourd

• Technologie souvent propriétaire

#8

• Logiciels / Progiciels souvent peu connusde la communauté des hackers

• Ergonomie au plus près des impératifsmétiers

• Attaques moins populaires / moinsdocumentées

Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ?

Posons la question différemment…

Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre absence :


Ex.A.

B.

C.

Vous laissez un double des clefs à vos parents

Vous laissez un double des clefs au voisin

Vous laissez vos clefs sous le paillasson : quelqu’un finira bien par les nourrir

De nombreuses établissements et entreprises répondent « C »!

Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre

#8

Vous laissez un double des clefs à vos parents

Vous laissez un double des clefs au voisin

Vous laissez vos clefs sous le paillasson : quelqu’un finira

Il est naturel de rendre vos clefs les plus inaccessibles possibles aux éventuels voleurs.

Il en va de même en informatique !

Architecture n

Clients web

Web services

Le tiers web


Ne jamais oublier : l’important, c’est la donnée !

Ce type d’architecture a de nombreux avantages, dont celui de positionner les données plus loin du pirate

Web services

Clients lourds

Côté client

Architecture n-tiers typique

Le tiers ressource

(EIS)

Le tiers ressource

#8Ne jamais oublier : l’important, c’est la donnée !

Ce type d’architecture a de nombreux avantages, dont celui de positionner les plus loin du pirate

Le tiers du milieu

(EIS)

Côté serveur

Web services

Le tiers du milieu

ressource(Les données)


Ne jamais oublier : l’important, c’est la donnée !

Architecture 2-tiers «

Malheureusement, de nombreuses applications métier pas cette considération en compte

Client lourd

Côté client

Le tiers ressourceLe tiers

#8Ne jamais oublier : l’important, c’est la donnée !

tiers « client-serveur »

applications métier ne prennent pas cette considération en compte !

(EIS)

Côté serveur

Le tiers ressource

(Les données)

� Si le client lourd a utilisé un secret, il est probablement dans sa

� Il est très facile de lire la mémoire d’un processus lancé sur sa propre machine


Dans les architectures client-serveur, la sécurité est souvent

Si le client lourd a utilisé un secret, il est probablement dans sa mémoire

est très facile de lire la mémoire d’un processus lancé sur sa propre machine

Exemples typiques d’éléments récoltésde cette manière :Exemples typiques d’éléments récoltésde cette manière :

#8serveur, la sécurité est souvent…

…du mauvais côté !

de cette manière :

• Mot de passe « maître » de la basede données

• Identifiants / Mots de passe d’autresutilisateurs

• Comptes de service

• Clefs de chiffrement

• Autres éléments « secrets » divers

de cette manière :

• Mot de passe « maître » de la basede données

• Identifiants / Mots de passe d’autresutilisateurs

• Comptes de service

• Clefs de chiffrement

• Autres éléments « secrets » divers

Ici, connexion directe à une base de donnée (Oracle


Avec ces éléments secrets, voler les données devient très simple

Ici, connexion directe à une base de donnée (Oracle) au moyen d’un compte volé en mémoire :

Il est également parfois possible demodifier le logiciel lui-même :

#8Avec ces éléments secrets, voler les données

• Modification du comportement du logiciel (débridage de l’interface, accès aux menus administrateur, etc.)

• Contournement de l’authentification

• Ajout d’un cheval de Troie dans le logiciel

• Etc.


� Confiance dans les technologies et logiciels moins connus / documentés


A RETENIR

documentés

� Confiance dans le discours marketing de l’éditeur logiciel

� Développement de logiciels « maison » traitant des données sensibles

Les bons réflexes

� Suivi des bonnes pratique de développement

#8

� Audit par un organisme indépendant

� Implication d’un expert sécurité dans le développement

MAUVAISE GESTION DES PRIVILÈGES

Supposons que le Président de la République…

…se promène en scooter avec le bouton nucléaire sous le bras.

Utiliser un compte administrateur, c’est aider le pirate s’il parvient à vous faire exécuter un malware

Faire tourner un service réseau en « root »,

c’est donner les clefs de l’Entreprise à la première faille publique l’affectant

Profil Utilisateur Services informatiques

Bien évidemment, une telle situation créerait un tollé général.

Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!

#7…se promène en scooter avec le bouton nucléaire

sous le bras. « With great power comes great responsibility

(Uncle Ben)

tourner un service réseau en »,

donner les clefs de l’Entreprise à la première faille publique l’affectant

Utiliser un compte DBA pour une application web, c’est fournir une belle porte d’entrée aux pirates

vers le réseau interne

informatiques Bases de données

Bien évidemment, une telle situation créerait un tollé général.

Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!


� Utilisation de comptes privilégiés (Administrateur, root, etc.)

MAUVAISE GESTION DES PRIVILÈGES

A RETENIR

(Administrateur, root, etc.)

� Partages et droits d’accès permissifs (Tout le monde peut lire/modifier)

Les bons réflexes

� Utilisation systématique des privilèges minimums

#7

privilèges minimums

� Accès autorisé aux données uniquement pour les personnes en ayant besoin

Les plus souvent, les équipements et systèmes ne sont pas finement configurés

Exemple d’un équipement en vogue : le Web Application

MAUVAISES CONFIGURATIONS

Par défaut, les équipements ou logiciels dédiés à la

Faille de l’application

web

Protection par défaut ?Protection

par défaut ?

En entrant directement l’URL des fonctions

d’administration, il est possible pour un utilisateur

classique d’y accéder

Nonle WAF n’a aucun moyen de connaître quelle page doit être réservée à quel rôle

En utilisant habilement le moteur de recherche du site institutionnel, il est possible

d’afficher des données

le WAF n’a aucun moyen de distinguer l’information confidentielle du reste

Les plus souvent, les équipements et systèmes ne

Exemple d’un équipement en vogue : le Web Application Firewall (WAF)

#6équipements ou logiciels dédiés à la sécurité…

… offrent rarement une protection optimale.

En utilisant habilement le moteur de recherche du site institutionnel, il est possible

d’afficher des données internes au groupe

Nonle WAF n’a aucun moyen de

distinguer l’information confidentielle du reste

En changeant la valeur d’un paramètre dans l’URL (ex:

« ID=1234 »), il est possible de lire les données

des autres utilisateurs

Non le WAF n’a aucun moyen de savoir que telle donnée est réservée à tel utilisateur

D’autres cas malheureusement communs ne sont pas protégés par les WAF

Cas réels :


1

Etourderies, oublis, mesures temporaires, test…

Utilisation du moteur de recherche sur le siteinstitutionnel (mot clef = admin). Mot de passeretourné ! Piratage de tout le SI, des milliers decomptes personnels accessibles.

Oubli d’une interface d’administration sur unemachine (login = mot de passe). Accès en « live »à toute la base client (plusieurs dizaines demilliers)

Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables

1

2

D’autres cas malheureusement communs ne sont

Identification d’une machine de développeuraccessible depuis Internet : tous les codes sourcesde toutes les applications du groupe en libre

#6

3

test…

… Autant d’invitations au vol des données !

de toutes les applications du groupe en libreservice ! Dans ce code source, présence de motsde passe permettant la prise de contrôle de toutle SI du groupe.

Site vitrine Français bien sécurisé, mais…l’équivalent pour l’Asie truffé de failles. Prise decontrôle du serveur asiatique, qui se trouve êtrerelié au réseau interne de tout le groupe. Accès àdes milliers de comptes.

Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables

4

Parfois, la situation est même pire : pas de sécurité en plus, mais… de la sécurité en moins !

Ex: Lotus Domino (messagerie de type webmail)


Certains logiciels sont vulnérables à des

Tout utilisateur peut consulter l’annuaire

Celui-ci divulgue par défaut les mots de passe (hashés) de tous les utilisateurs

Accéder à de nombreuses boîtes mail est alors aisé !

Ajuster les configurations finement est fastidieuxNéanmoins, c’est une étape impérative, souvent négligée

Parfois, la situation est même pire : pas de la sécurité en moins !

#6Certains logiciels sont vulnérables à des attaques très célèbres par défaut

Ajuster les configurations finement est fastidieuxNéanmoins, c’est une étape impérative, souvent négligée


� Configuration par défaut (ex : mot de passe du fabricant inchangé)


A RETENIR

inchangé)

� Méconnaissance des fonctionnalités disponibles / activées

Les bons réflexes

� Revue et durcissement systématique de la configuration

#6

systématique de la configuration

� Demande d’information au fournisseur et/ou à l’installateur

� Désactivation des fonctionnalités non utilisées

� Utilisation de référentiels / guides de sécurité

Pas de sécurité sans un solide système d’authentification… et pourtant, tellement de failles !

Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions

AUTHENTIFICATION DEFAILLANTE

Constat

Résultat

Les utilisateurs détestent les mots de passe

Ils utilisent des mots de passe simples

Ils les stockent n’importe comment

Les informaticiens ne les aiment pas non plus !

Nos tests montrent que de nombreux services utilisent les mots de passe

(Welogic

Pas de sécurité sans un solide système d’authentification… et

Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions

#5

Les informaticiens ne les aiment pas non plus !

Nos tests montrent que de nombreux services utilisent les mots de passe par défaut !

Welogic, Oracle, Tomcat, etc.)

Et même avec un mot de passe solide…

… Il faut s’en servir pour accéder aux données. Se servir d’un mot de passe,

c’est l’exposer momentanément.

• Bases de données(par défaut)

• HTTP

• LM / NTLM

Attaque WPAD

HistoriqueChiffrement

inexistant/défaillant


De plus, certains protocoles n’utilisent pas d’authentification du tout, ou encore une authentification non sûre

• HTTP

• Telnet (1969 !)

• FTP

• NIS / NFS

• Attaque WPAD

• Attaque SAMBA

• Pass-the-Hash

Tous ces sigles vous sont peutEn effet, malgré leur sécurité parfois nulle

monde entier !

NTLM / NTLM v2

WPAD

• DNS

DHCP

Historique Pré-Historique

#5De plus, certains protocoles n’utilisent pas d’authentification encore une authentification non sûre

WPAD

SAMBA

Hash

• DHCP

• ARP

• BGP

Tous ces sigles vous sont peut-être familiers… parfois nulle, ils restent très employés, parfois par le

monde entier !


� Absence d’authentification


A RETENIR

� Mot de passes faibles (voire triviaux)

� Mots de passe par défaut

� Stockage des mots de passe dans un fichier en clair et/ou mal protégé

Les bons réflexes

� Authentification systématique� Authentification forte (carte à

puce, biométrie) si possible

#5

� Utilisation de phrases (avec chiffres et symboles) ou d’un outil spécialisé

� Changement systématique des mots de passe

puce, biométrie) si possible

� Utilisation d’un outil spécialisé de gestion des mots de passe

Failles applicatives ?

Glissement des attaques systèmesvers des attaques applicatives

Les réseaux sont de plus en plus

APPLICATION WEB MAL SECURISEES

Sécuriser une application web : un vrai défi !

« 75% des attaques sur le web exploitent les vulnérabilités des applications

Les réseaux sont de plus en plussécurisés

Les applications elles-mêmes sontgénéralement plus simples à pirater

• Equipements de protection pas sirépandus

• Les développeurs sont peuformés à la sécurité

• Les méthodes de hackingapplicatif circulent sur Internet

OWASP Testing Guide

L’OWASP est l’organisme de référencepour la sécurité des sites web

#4Sécuriser une application web : un vrai défi !

75% des attaques sur le web exploitent les vulnérabilités des applications » (Gartner).

pour la sécurité des sites web

Son guide de test de sécurité proposeune centaine de types de test (avec detrès nombreuses sous-catégories)

De nombreux tests ne sont pasautomatisables (contexte métier parexemple)

Failles web : quelles conséquences ?

Le vol des données :- Données des utilisateurs (mots de passe, coordonnées, etc- Données métier (en lien avec la nature du site)- Dans le cas d’applications mutualisées entre plusieurs


Intuitivement, on pourrait penser que les conséquences de ce type de faille ne sont pas significatives… En fait, elles permettent par

- Dans le cas d’applications mutualisées entre plusieurs (SaaS par exemple), vol de données très diverses en une seule fois

L’exécution d’actions métier (virement, création/suppression de comptes, passage d’ordre, etc.)

La modification du contenu (« Defacement » par exemple)

L’utilisation de votre site pour attaquer ses autres utilisateurs

L’utilisation de vos systèmes pour perpétrer d’autres actions illégales

Utilisation du site web comme porte d’entrée vers le réseau interne, en vue d’un piratage complet de l’entreprise

Failles web : quelles conséquences ?

des utilisateurs (mots de passe, coordonnées, etc.)

le cas d’applications mutualisées entre plusieurs entreprises

#4

Les conséquences des

Intuitivement, on pourrait penser que les conséquences de ce type de faille ne sont pas significatives… En fait, elles permettent par exemple :

le cas d’applications mutualisées entre plusieurs entreprises), vol de données très diverses en une seule fois

(virement, création/suppression de comptes,

par exemple)

ses autres utilisateurs

actions illégales

réseau interne,

Les conséquences des piratages de site web

peuvent être tout aussi désastreuses pour

l’entreprise que les autres formes de piratage


� Impact d’une vulnérabilité applicative sous-estimée


A RETENIR

� Développement web sans prise en compte des aspects sécurité

� Données sensibles confiées à des applications très exposées

Les bons réflexes

� Analyse des risques encourus

#4

� Suivi des bonnes pratique de développement sécurisé (OWASP)

� Restriction des données accessibles à l’application au strict minimum

1. Découverte

Recherche de tous leséléments accessibles

2. Corrélation

Des basescontenant toutespubliquementdisponiblesgratuitement

MANQUES DE MISE A JOUR

Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct l’outillage est en effet complètement automatisé

Identification des différentstypes et versions (techniquesde « fingerprinting »)

gratuitement

En entranttype et lacomposant,immédiatementde sécurité

Corrélation

de donnéestoutes les failles

publiquement connues sontsur Internet,

3. Exploitation

Des codes d’attaquesexistent aussi sur Internet(dans certains cas, ilspeuvent être payants : unmarché très important

#3Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct :

est en effet complètement automatisé

simplement leversion d’unon connaît

immédiatement son niveau

marché très importantexiste)

Le piratage est alors trèssimple : l’utilisation d’un outilautomatique ne nécessiteque peu de compétences

Tous les composants doivent être régulièrement mis à jour : une réelle organisation stricte est nécessaire

Equipements / Réseau

o Switchso Routeurso WAFo Load Balancerso Etc.

Windows (Serveurs & Postes utilisateurs)


Systèmes / Services

Applicatifs

o Windows (Serveurs & Postes utilisateurs)o Linuxo IIS / Apache / o iOS / Androido Bases de donnéeso Etc.

o OpenSSLo CMS : WordPress, o Navigateurs Interneto Suite Microsoft Officeo Antiviruso Etc.

les composants doivent être régulièrement réelle organisation stricte est nécessaire

SwitchsRouteurs

Balancers


#3


IIS / Apache / Tomcat / Weblogic / …iOS / AndroidBases de données

OpenSSLCMS : WordPress, Jahia, Drupal, …Navigateurs InternetSuite Microsoft OfficeAntivirus


� Pas d’application des mises à jour


A RETENIR

� Utilisation de systèmes obsolètes ne recevant plus de mises à jour : Windows 95, 98, XP, NT , 2000, 2003

� Mises à jours limitées aux serveurs et / ou postes de travail

Les bons réflexes

� Mises à jour systématiques et obligatoires, voire automatiques

#3

� Migration des systèmes� Circonscription de ceux ne pouvant l’être

� Identification et suivi de l’ensemble des équipements devant être mis à jour

Un réseau interne d’entreprise présente une surface d’attaque énorme

Grande surface d’attaque ?

Infrastructure Windows AD� Authentification LM / NTLM / NTLMv2

Postes utilisateurs Windows � WPAD /

RESEAUX INTERNES FACILES A PIRATER

Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas

Postes utilisateurs Windows � WPAD / SAMBA

Partages de fichiers, souvent très ouverts

Services par dizaines / centaines / milliers

Dizaines, centaines, voire milliers de comptes utilisateurs, et autant de mots de passe

Etc.

Un réseau interne d’entreprise présente une surface

Et alors ?

Contrairement aux tests depuis Internet, iln’y a en général pas (ou peu) de sécurité

#2

Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas

n’y a en général pas (ou peu) de sécuritéréseau

De fait, la plupart des éléments sontaccessibles

Cette surface d’attaque énorme offre unetelle diversité, qu’en général, toutes lesattaques évoquées jusqu’ici sontpotentiellement efficaces !


Il existe tellement de possibilités de piratage, que tout contrer est très difficile, surtout dans la durée

Sécuriser un réseau interne est une tâche colossale

De plus, le travail doit se faire constamment, impossible de le faire

Tant de possibilités!

#2Il existe tellement de possibilités de piratage, que tout contrer est très difficile, surtout dans la durée

constamment, impossible de le faire « une fois pour toute »

Mettre en place une surveillance est très important : si on ne peut tout bloquer, on peut souvent détecter !

Bien évidemment, cela montre que la sécurité périmétrique est très importante : le pirate ne doit pas pouvoir entrer sur le réseau interne


� Faible niveau de protection dans le réseau interne


A RETENIR

le réseau interne

� Absence de surveillance du réseau interne

Les bons réflexes

� Suivi des bonnes pratiques (mises à jour, authentification, permissions, etc.)

#2

permissions, etc.)

� Mises en place de mécanismes de détection (équipement, équipe, etc.)

Les connexions WiFi au réseau interne peuvent aider les pirates

Connexion

Du matériel spécialisé permetune connexion à moyenne

Attaques classiques

� De nombreux réseaux


une connexion à moyennedistance

Un piratage est donc possibledepuis l’extérieur del’établissement visé

� De nombreux réseauxvulnérables àclassiques et connues

o WEP,o WPA mal configuré,o WPS,o portail captif

au réseau interne peuvent aider

Attaques classiques

réseaux Wifi sont

Aide des utilisateurs à leur insu !

� Certains équipements créent ou se connectent automatiquement

#2

réseaux Wifi sontdes attaques

connues :

configuré,

captif vulnérable

se connectent automatiquement des réseaux Wifi

� Les utilisateurs se connectentparfois au réseau WiFi et auréseau filaire simultanément,créant un pont

� Cas du BOYD

Le cas particulier : le WiFi


� WEP (quelle que soit la clé)� WPA avec une clé trop faible


A RETENIR

� Pont réseau vers le réseau interne

� Equipements non maîtrisés (créent ou se connectent aux réseaux WiFi)

Les bons réflexes

� WPA2 avec une clé complexe renouvelée régulièrement ou une authentification par certificat

#2

� Isolation du réseau interne des machines connectées au WiFi

� Revue systématique de la configuration� Désactivation des réseaux non utilisés

Introduction



3 JOKER

Introduction

Méthodes classiques

INGENIERIE SOCIALE

Lorsque les attaques purement techniques échouent, ou lorsque les pirates ne craignent pas la détection, ils attaquent le maillon humain

� Pièges par e-mail

� Appels téléphoniques

� Don de matériel piégé

Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne

Leviers de manipulation mentale

“Le cerveau humain est comme un OS sans firewall”

#1Lorsque les attaques purement techniques échouent, ou lorsque les pirates ne craignent pas la détection, ils

sans firewall”

� Cupidité (offres promotionnelles, appât du gain)

� Idéologie (combats politiques, religieux, etc.)

� Menaces / Intimidation / Pression� Ego (mise au défi)� Etc.

Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne

Exemple #1 : Ingénierie sociale par

Envoi de chevaux de Troie

Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet

Méthodologie en 3

INGENIERIE SOCIALE

Connexion à la boîte e

Analyse des informations techniques dérobées (« cracking du hash du mot de passe

Prise de contrôle du poste de la victime

Méthodologie en 3 phases employée habituellement

lors de nos tests d’intrusion via

social engineering

Exemple #1 : Ingénierie sociale par e-mail

Envoi de chevaux de Troie

Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet

#1

Connexion à la boîte e-mail cible

Analyse des informations techniques dérobées cracking du hash du mot de passe »)

Connexion à la boîte cible via webmail

Attaque interne

Prise de contrôle du poste de la victimeUtilisation du poste de la victime pour attaquer

l’annuaire interne et extraire les hashs des mots de passe « Windows Active Directory »

La méfiance à l’égard des mails n’est finalement pas si

Résultat : succès global quasi systématique

Téléchargement du faux formulaire

INGENIERIE SOCIALE

Exécution du cheval de Troie

du faux formulaire

A ce niveau, le pirate a déjà un pied dans l’entreprise visée

La méfiance à l’égard des mails n’est finalement pas si grande

systématique

61,23%Téléchargement

du faux formulaire

#1

31,70%

0% 20% 40% 60% 80% 100%

Exécution du cheval de Troie

du faux formulaire

A ce niveau, le pirate a déjà un pied dans l’entreprise visée

Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :

INGENIERIE SOCIALE

Le niveau de sensibilisation moyen est faible #1Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :

Le niveau de sensibilisation moyen est faible

Autres anecdotes :

� Transmission de l’offre à des amis� Multiples exécutions du cheval de

Troie� Envoi de données confidentielles

non sollicitées� Etc.

Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande

Voler des données (très) confidentielles est alors aisé

Quelques exemples de données récupérées :

� Documents techniques (mots de passe !)

INGENIERIE SOCIALE

� Données commerciales (ventes, futurs appelsd’offres)

� Données personnelles (mails, agendas, photos,scans de documents administratifs)

� Grille des salaires

� Documents métier, etc.

Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent.

Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande)

des données (très) confidentielles est alors aisé

Remarques :

� Les anti-virus sont souvent aveugles dèslors que l’attaque n’est pas une attaque

#1

lors que l’attaque n’est pas une attaqueconnue (signature référencée)

� A nouveau, attention au faux sentimentde sécurité !

Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent.

La voix humaine est un atout pour mettre la victime en confiance

Exemple #2 : Ingénierie sociale par téléphone

But de l’exercice / Scénario

INGENIERIE SOCIALE

• But : Récupérer le mot de passe del’utilisateur (accès webmail par exemple)

• Exemples de scénarios utilisés :• Fausse migration de la messagerie• Mise en place d’une fausse nouvelle

application de réseau social• Création d’une fausse base

documentaire interne

La voix humaine est un atout pour mettre la victime en confiance

#2 : Ingénierie sociale par téléphone

Résultats

#1

Bien que les appels aient été effectuésdepuis une ligne externe, le vol d’informationa été un grand succès :

• 343 appels téléphoniques

• 166 mots de passe récupérés (48,4%)

Des réactions parfois surprenantes

• « Ne vous en faites pas, je dirige ce département etj’avertis qu’une migration est en cours : tout lemonde vous donnera son mot de passe. »

• « Mon collègue est absent, mais je connais son mot

Morceaux choisis

INGENIERIE SOCIALE

• « Mon collègue est absent, mais je connais son motde passe, je vous le donne également. »

• « Je ne vous donne pas mon mot de passeWindows, c’est interdit ! Mais voici mon mot depasse e-mail… »

• « C’est interdit de donner son mot de passe, maisje n’ai pas envie de subir une coupure mail, donc levoici ! »

A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats !

etle

mot

Pour les rares cas où la personne refusecatégoriquement, pour éviter que l’alerte ne

En cas de refus…

#1

mot

passede

maisle

catégoriquement, pour éviter que l’alerte nesoit donnée, plusieurs méthodes sontenvisageables.

Par exemple, on explique que dans ce cas, lemot de passe va être réinitialisé, et on donneà la personne un (faux) nouveau mot depasse qu’elle doit « bien noter ».

A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats !


� Manque d’information des

INGENIERIE SOCIALE

A RETENIR

� Manque d’information des utilisateurs

� Ignorance ou refus des risques liés au facteur humain

Les bons réflexes

� Sensibilisations régulières

#1

� Sensibilisations régulières� Campagnes d’informations

� Campagnes de test� Analyse des risques encourus



4 Recommandations &

Conclusions

Que faire ?

� Développement : attention, si de mauvais choix structurels affectent les applications utilisées, leur sécurisation peut être quasi-impossible ! De plus attention aux applications web, véritables nids de failles.

� Equipements de sécurité : Leur

Recommandations

Technique

� Equipements de sécurité : Leur simple présence n’ajoute que peu de sécurité. Un paramétrage fin et adapté au contexte est nécessaire. C’est un travail long, parfois complexe, mais indispensable.

� Ne pas négliger la sécurité du réseau interne : la probabilité qu’un pirate s’y retrouve connecté est très forte (notamment dans les grands groupes)

� Surveillance : S’il est difficile d’empêcher toute attaque de réussir, a minima, il faut pouvoir la détecter le plus vite possible pour la neutraliser

Afin de réduire les risques de vols dedonnées suite à des erreurs humaines, ilest fortement conseillé de mettre en placedes campagnes de sensibilisationsrépétées des utilisateurs.

Différents type de support existent :

Humain

Différents type de support existent :

�affiches,

� communication par messagerie,

� e-learning,

� séance de sensibilisation.

Que faire ?

� Maîtriser la sécurité d’un équipement ou de logiciels que vous vous procurez n’est pas forcément chose aisée

� N’hésitez pas à inclure dans vos contrats des clauses liées à la sécurité

� Ces clauses peuvent par exemple

Recommandations

Prestataires / Vendeurs

� Ces clauses peuvent par exemple demander au fournisseur de s’engager sur une liste de points de contrôle sécurité

� Faites jouer la concurrence si un prestataire donné s’y refuse !

Afin d’amener la sécurité d’un périmètreinformatique à un niveau correct,certaines actions peuvent être entreprisespour un coût très modique :

�Création d’une charte informatique

Même sans grand budget

�Mise en place d’une politique de mots depasse décente

� Fermeture à clef systématique deslocaux sensibles

�Elaboration de fiches de réaction face àun incident (virus, intrus, piratage,email suspect, etc.)

�Campagnes de sensibilisation simples(affiches à la machine à café, mailsréguliers, etc.)

Que faire ?Recommandations

Guides officiels :

� Guides publiés :

� Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et médico-social - Structure sans approche SSI

� Règles pour les dispositifs connectés d’un Système d’Information de

� Référentiel d’authentification des acteurs de

� Référentiel d’imputabilité

� Guide pratique spécifique pour la mise en place d’un accès � Guide pratique spécifique pour la mise en place d’un accès

� Guides en cours d’élaboration :

� Guide pour la gestion des habilitations d’accès

� Gestion des événements sécurité

� Guide en concertation :

� Règles pour la mise en place d’un accès web au SIS pour des

� Les documents publiés sont disponibles dans l’espace publication de la PGSSIhttp://esante.gouv.fr/pgssi-s/espace-publication

� Les documents en concertation sont disponibles dans l’espace concertation de la PGSSIhttp://esante.gouv.fr/pgssi-s/espace-concertation

� Les documents en cours d’élaboration seront mis en concertation courant 2016

d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs Structure sans approche SSI formalisée

Règles pour les dispositifs connectés d’un Système d’Information de Santé

Référentiel d’authentification des acteurs de santé

Guide pratique spécifique pour la mise en place d’un accès WifiGuide pratique spécifique pour la mise en place d’un accès Wifi

pour la gestion des habilitations d’accès

Règles pour la mise en place d’un accès web au SIS pour des tiers

Les documents publiés sont disponibles dans l’espace publication de la PGSSI-S : publication

Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI-S : concertation

Les documents en cours d’élaboration seront mis en concertation courant 2016

Conclusions

Un retour d’expérience pessimiste ?

Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est

Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Pour rappel :

« 80 % de la cybercriminalité est liée des bandes organisées financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne

Que faire ?

financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne(Interpol)

Ne sous-estimez pas la menace.Ne surestimez pas votre niveau de sécurité.

Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise

http://esante.gouv.fr/services/referentiels/securite/pgssi

Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est-ce représentatif ?

Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Cet argument est illusoire.

des bandes organisées transfrontalières et représente un coût plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne » plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »

estimez pas la menace.Ne surestimez pas votre niveau de sécurité.

Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise

http://esante.gouv.fr/services/referentiels/securite/pgssi

Technology

2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama