Upload
asip-sante
View
3.002
Download
0
Embed Size (px)
Citation preview
Les techniques des pirates et et
Christophe [email protected]
Colloque – 7 Octobre 2015La sécurité des systèmes d’information dans les établissements sanitaires et médico
Ministère des Affaires Sociales, de la Santé et des Droits des femmes
Les techniques des pirates et comment s’en protégeret comment s’en protéger
Christophe [email protected]
La sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux
Ministère des Affaires Sociales, de la Santé et des Droits des femmes
Introduction
Les techniques des pirates et comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
Introduction
Les techniques des pirates
et comment s’en protéger
1 INTRODUCTION
Introduction
LES FAITS
Toutes les entreprises sont attaquées, indépendamment de leur taille ou de leur activitésont attaquées, indépendamment de leur taille ou de leur activité
Source: DBIR 2015
Le secteur de la santé ne fait pas exception à la règleLES FAITS
Aux USA, les établissements de santé sont tenus dequi permet d’avoir des chiffres fiables et réalistes.
80% affirment que leur système d'information a déjà été touché par une 80% affirment que leur système d'information a déjà été touché par une
Le secteur de la santé ne fait pas exception à la règle
Source: KPMG Healthcare Cybersecurity 2015 Survey
de déclarer les incidents de sécurité informatique, ce
affirment que leur système d'information a déjà été touché par une cyber-attaque.affirment que leur système d'information a déjà été touché par une cyber-attaque.
42,8 millions de cyber-attaques ont été recensées dans le monde en 2014
Des chiffres alarmants
42,8 millions de cyber attaques,
Une augmentation de 48
Le coût annuel moyen attribué
LES FAITS
Des conséquences fortes
Des conséquences fortes
Des cibles diverses et nouvelles
Le coût annuel moyen attribuémillions de dollars en 2014
Soit une croissance de 34
Une forte augmentation(+41% en 2014)
attaques ont été recensées dans le monde en 2014
attaques, soit 117 339 attaques par jour
48% par rapport à l’année précédente
attribué aux incidents de sécurité atteint 2,7attribué aux incidents de sécurité atteint 2,72014
34% par rapport à 2013
des incidents de cyber-sécurité en Europe
Source: PwC 2014
Nos tests d’intrusion démentent souvent les
Discours
� Nous utilisons de nombreux équipements de sécurité !
PARADOXE
équipements de sécurité !
� Nos logiciels sont régulièrement mis à jour !
� Nous avons des anti-virus !
� Nos salariés sont sensibilisés aux risques informatiques !
� On n’a jamais été piraté, pourquoi changer quoi que ce soit ?
Nos tests d’intrusion démentent souvent les discours
Faits constatés lors de nos audits
� Les tests d’intrusion sans restriction quant au mode opératoire parviennent à exfiltrer des données sensibles 9 fois sur 10
� Les méthodes d’attaques mises en œuvre sont souvent basées sur les mêmes principes… depuis 15 ans !
Le piratage, ça n’arrive qu’aux autres ! »
PREMIERES REACTIONS
Pourquoi cette différence entre apparences et réalité?
Nonchalance, laxisme, incrédulité
De manière générale, les entreprises les plus confiantes à l’égard du vol de données …
Le piratage, ça n’arrive qu’aux autres ! »
«de sécurité, nous ne risquons pas grand
Notre personnel a été formé spécifiquement contre l’ingénierie sociale !
Confiance en l’efficacité des mesures
Cet état d’esprit joue en faveur des pirates !
Pourquoi cette différence entre apparences et réalité?
De manière générale, les entreprises les plus confiantes à l’égard du vol de données …
… sont les plus vulnérables!
Nous utilisons les meilleurs équipements de sécurité, nous ne risquons pas grand-chose ! »
Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! »
Confiance aveugle en la technique
Cet état d’esprit joue en faveur des pirates !
Equipements de sécurité
Leur simple présence ne suffit pas !
Sont-ils positionnés judicieusement ?Sont-ils paramétrés relativement à votre environnement ?
Ont-ils des limitations intrinsèques ?
Comme chacun sait, l’humain reste souvent le maillon faible
LES ERREURS
Pourtant ces raisonnements semblent rationnels. Pourquoi sont
Sensibilisation
Nos serveurs n’ont pas été
piratés
Comme chacun sait, l’humain reste souvent le maillon faible
Les campagnes de sensibilisation ontQuelle population a été ciblée ? Qu’en est
C’est possible. Mais est
La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
Leur simple présence ne suffit pas !
ils positionnés judicieusement ?ils paramétrés relativement à votre environnement ?
ils des limitations intrinsèques ?
Comme chacun sait, l’humain reste souvent le maillon faible
Pourtant ces raisonnements semblent rationnels. Pourquoi sont-ils erronés ?
Comme chacun sait, l’humain reste souvent le maillon faible d’un SI.
Les campagnes de sensibilisation ont-elles été efficaces ?Quelle population a été ciblée ? Qu’en est-il des nouveaux collaborateurs ?
C’est possible. Mais est-ce un indicateur si fiable que cela ?
La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
Les techniques des pirates
et comment s’en protéger
2 TOP 10
Failles de sécurité techniques
Il est parfois plus simple de pirater le matériel que le logiciel!
S’intercale entre le clavier etl’unité centrale
Enregistre toutes les frappesclavier (mots de passenotamment)
Existe en version WiFi, pour
� Si un équipementde ce typedéfinition piratable
� Ce type deaccès directl’équipement
FAIBLESSES DU MATERIEL
Keylogger physique Firewire
Existe en version WiFi, pourexfiltrer les données aisément
A la portée de n’importe qui !(coût : quelques dizainesd’euros)
l’équipementmots de passe
� Matériel peucâble), attaquecomplexespécialisés expérimentaux)
#10Il est parfois plus simple de pirater le matériel
équipement est pourvude port, il est par
piratable !
de port permet undirect à la mémoire de
l’équipement => accès aux
� Tous les systèmes autorisent laconnexion en USB de certainséquipements, sans aucunedemande de confirmation(clavier, souris, carte réseau,etc.)
� Il est par exemple possible de
Firewire BadUSB
l’équipement => accès auxpasse
peu coûteux (unattaque relativement
(logicielsexpérimentaux)
� Il est par exemple possible decréer une souris, qui en fait sefera passer pour un clavierauprès du système.
� Des commandes malveillantesseront alors exécutées sur lamachine, pour la pirater.
Attaquer le matériel est souvent très efficace…
Pourquoi s’embêterà contourner des protections complexes, si on peut attaquer ce qui n’est pas protégé du tout
Problème de confiance au matériel
FAIBLESSES DU MATERIEL
?
Les logiciels n’ont souvent pas d’autre choixque de faire confiance au matériel
Seuls certains protocoles précis utilisent desmécaniques spécifiques pour empêcher cetype d’attaques
Néanmoins, de nombreux protocoleshistoriques (USB…) en sont exempts
Attaquer le matériel est souvent très efficace…
Indétectable & imparable !
#10
Les exemples énoncés ici sont les plusconnus. D’autres attaques basées sur lemême principe existent.
Elles ne sont pas détectables sans matérielparticulier, et ne peuvent pas facilement êtrebloquées (à moins de mettre en œuvre unparamétrage très contraignant)
Par conséquent, la paranoïa est de mise :n’acceptez aucun cadeau informatique! (clefsUSB, souris, haut-parleur externe, etc.)
Les erreurs courantes
� Accès au matériel informatique
Nota beneFAIBLESSES DU MATERIEL
A RETENIR
� Accès au matériel informatique par des inconnus / externes
� Branchement de matériel personnel
� Matériel d’origine externe (clé USB, chargeur, téléphone, etc.)
Les bons réflexes
� Contrôle d’accès systématique : clé, badge, biométrique, …
� Si ce n’est pas possible, le
#10
� Si ce n’est pas possible, le matériel doit être au minimum verrouillé (authentification nécessaire avant utilisation)
� Sensibilisation des utilisateurs
� Ecriture et respect d’une charte informatique
Exemple : le chiffrement des données
Les données informatiques sont précieuses : métaphore du bijoux
CRYPTOGRAPHIE MAL UTILISEE
� Les bijoux précieux sont souvent stockés dans
des coffres forts
� Ces coffres rendent le vol beaucoup plus
difficile
Malheureusement, un serveur informatique le coffre doit donc rester
Exemple : le chiffrement des données
précieuses : métaphore du bijoux
#9
Problème : le coffre-fort n’offre plus aucune sécurité dès lors que plus aucune sécurité dès lors que l’on souhaite porter ses bijoux !
serveur informatique se sert en permanence des données : rester ouvert !
Les erreurs courantes
CRYPTOGRAPHIE MAL UTILISEE
� Sentiment de sécurité lié au jargon ou aux discours commerciaux
A RETENIR
� Pas de chiffrement d’un périphérique nomade
� Chiffrement appliqué au mauvais endroit, ou partiellement
� Chiffrement totalement transparent pour l’utilisateur
Les bons réflexes
#9
� Mise en doute systématique de la sécurité : demande des certifications, audits, etc.
� Chiffrement total des supports susceptibles d’être perdus / volés / accédés
� Chiffrement nécessitant une authentification (passphrase, ou mieux, TPM)
Les applications que vous utilisez quotidiennement se présentent sous diverses formes
Application Web / Client léger
• Technologie très classique
• Technologie très connue
MAUVAISE ARCHITECTURE APPLICATIVE
• Technologie très connue
• Interopérabilité maximale (navigateursstandards)
• Ergonomie parfois peu adaptée auximpératifs métiers (point en amélioration)
• Vulnérable à des attaques classiques (e.g.Top 10 OWASP)
Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ?
Les applications que vous utilisez quotidiennement
Client lourd
• Technologie souvent propriétaire
#8
• Logiciels / Progiciels souvent peu connusde la communauté des hackers
• Ergonomie au plus près des impératifsmétiers
• Attaques moins populaires / moinsdocumentées
Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ?
Posons la question différemment…
Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre absence :
MAUVAISE ARCHITECTURE APPLICATIVE
Ex.A.
B.
C.
Vous laissez un double des clefs à vos parents
Vous laissez un double des clefs au voisin
Vous laissez vos clefs sous le paillasson : quelqu’un finira bien par les nourrir
De nombreuses établissements et entreprises répondent « C »!
Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre
#8
Vous laissez un double des clefs à vos parents
Vous laissez un double des clefs au voisin
Vous laissez vos clefs sous le paillasson : quelqu’un finira
Il est naturel de rendre vos clefs les plus inaccessibles possibles aux éventuels voleurs.
Il en va de même en informatique !
Architecture n
Clients web
Web services
Le tiers web
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Ce type d’architecture a de nombreux avantages, dont celui de positionner les données plus loin du pirate
Web services
Clients lourds
Côté client
Architecture n-tiers typique
Le tiers ressource
(EIS)
Le tiers ressource
#8Ne jamais oublier : l’important, c’est la donnée !
Ce type d’architecture a de nombreux avantages, dont celui de positionner les plus loin du pirate
Le tiers du milieu
(EIS)
Côté serveur
Web services
Le tiers du milieu
ressource(Les données)
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Architecture 2-tiers «
Malheureusement, de nombreuses applications métier pas cette considération en compte
Client lourd
Côté client
Le tiers ressourceLe tiers
#8Ne jamais oublier : l’important, c’est la donnée !
tiers « client-serveur »
applications métier ne prennent pas cette considération en compte !
(EIS)
Côté serveur
Le tiers ressource
(Les données)
� Si le client lourd a utilisé un secret, il est probablement dans sa
� Il est très facile de lire la mémoire d’un processus lancé sur sa propre machine
MAUVAISE ARCHITECTURE APPLICATIVE
Dans les architectures client-serveur, la sécurité est souvent
Si le client lourd a utilisé un secret, il est probablement dans sa mémoire
est très facile de lire la mémoire d’un processus lancé sur sa propre machine
Exemples typiques d’éléments récoltésde cette manière :Exemples typiques d’éléments récoltésde cette manière :
#8serveur, la sécurité est souvent…
…du mauvais côté !
de cette manière :
• Mot de passe « maître » de la basede données
• Identifiants / Mots de passe d’autresutilisateurs
• Comptes de service
• Clefs de chiffrement
• Autres éléments « secrets » divers
de cette manière :
• Mot de passe « maître » de la basede données
• Identifiants / Mots de passe d’autresutilisateurs
• Comptes de service
• Clefs de chiffrement
• Autres éléments « secrets » divers
Ici, connexion directe à une base de donnée (Oracle
MAUVAISE ARCHITECTURE APPLICATIVE
Avec ces éléments secrets, voler les données devient très simple
Ici, connexion directe à une base de donnée (Oracle) au moyen d’un compte volé en mémoire :
Il est également parfois possible demodifier le logiciel lui-même :
#8Avec ces éléments secrets, voler les données
• Modification du comportement du logiciel (débridage de l’interface, accès aux menus administrateur, etc.)
• Contournement de l’authentification
• Ajout d’un cheval de Troie dans le logiciel
• Etc.
Les erreurs courantes
� Confiance dans les technologies et logiciels moins connus / documentés
MAUVAISE ARCHITECTURE APPLICATIVE
A RETENIR
documentés
� Confiance dans le discours marketing de l’éditeur logiciel
� Développement de logiciels « maison » traitant des données sensibles
Les bons réflexes
� Suivi des bonnes pratique de développement
#8
� Audit par un organisme indépendant
� Implication d’un expert sécurité dans le développement
MAUVAISE GESTION DES PRIVILÈGES
Supposons que le Président de la République…
…se promène en scooter avec le bouton nucléaire sous le bras.
Utiliser un compte administrateur, c’est aider le pirate s’il parvient à vous faire exécuter un malware
Faire tourner un service réseau en « root »,
c’est donner les clefs de l’Entreprise à la première faille publique l’affectant
Profil Utilisateur Services informatiques
Bien évidemment, une telle situation créerait un tollé général.
Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
#7…se promène en scooter avec le bouton nucléaire
sous le bras. « With great power comes great responsibility
(Uncle Ben)
tourner un service réseau en »,
donner les clefs de l’Entreprise à la première faille publique l’affectant
Utiliser un compte DBA pour une application web, c’est fournir une belle porte d’entrée aux pirates
vers le réseau interne
informatiques Bases de données
Bien évidemment, une telle situation créerait un tollé général.
Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
Les erreurs courantes
� Utilisation de comptes privilégiés (Administrateur, root, etc.)
MAUVAISE GESTION DES PRIVILÈGES
A RETENIR
(Administrateur, root, etc.)
� Partages et droits d’accès permissifs (Tout le monde peut lire/modifier)
Les bons réflexes
� Utilisation systématique des privilèges minimums
#7
privilèges minimums
� Accès autorisé aux données uniquement pour les personnes en ayant besoin
Les plus souvent, les équipements et systèmes ne sont pas finement configurés
Exemple d’un équipement en vogue : le Web Application
MAUVAISES CONFIGURATIONS
Par défaut, les équipements ou logiciels dédiés à la
Faille de l’application
web
Protection par défaut ?Protection
par défaut ?
En entrant directement l’URL des fonctions
d’administration, il est possible pour un utilisateur
classique d’y accéder
Nonle WAF n’a aucun moyen de connaître quelle page doit être réservée à quel rôle
En utilisant habilement le moteur de recherche du site institutionnel, il est possible
d’afficher des données
le WAF n’a aucun moyen de distinguer l’information confidentielle du reste
Les plus souvent, les équipements et systèmes ne
Exemple d’un équipement en vogue : le Web Application Firewall (WAF)
#6équipements ou logiciels dédiés à la sécurité…
… offrent rarement une protection optimale.
En utilisant habilement le moteur de recherche du site institutionnel, il est possible
d’afficher des données internes au groupe
Nonle WAF n’a aucun moyen de
distinguer l’information confidentielle du reste
En changeant la valeur d’un paramètre dans l’URL (ex:
« ID=1234 »), il est possible de lire les données
des autres utilisateurs
Non le WAF n’a aucun moyen de savoir que telle donnée est réservée à tel utilisateur
D’autres cas malheureusement communs ne sont pas protégés par les WAF
Cas réels :
MAUVAISES CONFIGURATIONS
1
Etourderies, oublis, mesures temporaires, test…
Utilisation du moteur de recherche sur le siteinstitutionnel (mot clef = admin). Mot de passeretourné ! Piratage de tout le SI, des milliers decomptes personnels accessibles.
Oubli d’une interface d’administration sur unemachine (login = mot de passe). Accès en « live »à toute la base client (plusieurs dizaines demilliers)
Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables
1
2
D’autres cas malheureusement communs ne sont
Identification d’une machine de développeuraccessible depuis Internet : tous les codes sourcesde toutes les applications du groupe en libre
#6
3
test…
… Autant d’invitations au vol des données !
de toutes les applications du groupe en libreservice ! Dans ce code source, présence de motsde passe permettant la prise de contrôle de toutle SI du groupe.
Site vitrine Français bien sécurisé, mais…l’équivalent pour l’Asie truffé de failles. Prise decontrôle du serveur asiatique, qui se trouve êtrerelié au réseau interne de tout le groupe. Accès àdes milliers de comptes.
Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables
4
Parfois, la situation est même pire : pas de sécurité en plus, mais… de la sécurité en moins !
Ex: Lotus Domino (messagerie de type webmail)
MAUVAISES CONFIGURATIONS
Certains logiciels sont vulnérables à des
Tout utilisateur peut consulter l’annuaire
Celui-ci divulgue par défaut les mots de passe (hashés) de tous les utilisateurs
Accéder à de nombreuses boîtes mail est alors aisé !
Ajuster les configurations finement est fastidieuxNéanmoins, c’est une étape impérative, souvent négligée
Parfois, la situation est même pire : pas de la sécurité en moins !
#6Certains logiciels sont vulnérables à des attaques très célèbres par défaut
Ajuster les configurations finement est fastidieuxNéanmoins, c’est une étape impérative, souvent négligée
Les erreurs courantes
� Configuration par défaut (ex : mot de passe du fabricant inchangé)
MAUVAISES CONFIGURATIONS
A RETENIR
inchangé)
� Méconnaissance des fonctionnalités disponibles / activées
Les bons réflexes
� Revue et durcissement systématique de la configuration
#6
systématique de la configuration
� Demande d’information au fournisseur et/ou à l’installateur
� Désactivation des fonctionnalités non utilisées
� Utilisation de référentiels / guides de sécurité
Pas de sécurité sans un solide système d’authentification… et pourtant, tellement de failles !
Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions
AUTHENTIFICATION DEFAILLANTE
Constat
Résultat
Les utilisateurs détestent les mots de passe
Ils utilisent des mots de passe simples
Ils les stockent n’importe comment
Les informaticiens ne les aiment pas non plus !
Nos tests montrent que de nombreux services utilisent les mots de passe
(Welogic
Pas de sécurité sans un solide système d’authentification… et
Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions
#5
Les informaticiens ne les aiment pas non plus !
Nos tests montrent que de nombreux services utilisent les mots de passe par défaut !
Welogic, Oracle, Tomcat, etc.)
Et même avec un mot de passe solide…
… Il faut s’en servir pour accéder aux données. Se servir d’un mot de passe,
c’est l’exposer momentanément.
• Bases de données(par défaut)
• HTTP
• LM / NTLM
Attaque WPAD
HistoriqueChiffrement
inexistant/défaillant
AUTHENTIFICATION DEFAILLANTE
De plus, certains protocoles n’utilisent pas d’authentification du tout, ou encore une authentification non sûre
• HTTP
• Telnet (1969 !)
• FTP
• NIS / NFS
• Attaque WPAD
• Attaque SAMBA
• Pass-the-Hash
Tous ces sigles vous sont peutEn effet, malgré leur sécurité parfois nulle
monde entier !
NTLM / NTLM v2
WPAD
• DNS
DHCP
Historique Pré-Historique
#5De plus, certains protocoles n’utilisent pas d’authentification encore une authentification non sûre
WPAD
SAMBA
Hash
• DHCP
• ARP
• BGP
Tous ces sigles vous sont peut-être familiers… parfois nulle, ils restent très employés, parfois par le
monde entier !
Les erreurs courantes
� Absence d’authentification
AUTHENTIFICATION DEFAILLANTE
A RETENIR
� Mot de passes faibles (voire triviaux)
� Mots de passe par défaut
� Stockage des mots de passe dans un fichier en clair et/ou mal protégé
Les bons réflexes
� Authentification systématique� Authentification forte (carte à
puce, biométrie) si possible
#5
� Utilisation de phrases (avec chiffres et symboles) ou d’un outil spécialisé
� Changement systématique des mots de passe
puce, biométrie) si possible
� Utilisation d’un outil spécialisé de gestion des mots de passe
Failles applicatives ?
Glissement des attaques systèmesvers des attaques applicatives
Les réseaux sont de plus en plus
APPLICATION WEB MAL SECURISEES
Sécuriser une application web : un vrai défi !
« 75% des attaques sur le web exploitent les vulnérabilités des applications
Les réseaux sont de plus en plussécurisés
Les applications elles-mêmes sontgénéralement plus simples à pirater
• Equipements de protection pas sirépandus
• Les développeurs sont peuformés à la sécurité
• Les méthodes de hackingapplicatif circulent sur Internet
OWASP Testing Guide
L’OWASP est l’organisme de référencepour la sécurité des sites web
#4Sécuriser une application web : un vrai défi !
75% des attaques sur le web exploitent les vulnérabilités des applications » (Gartner).
pour la sécurité des sites web
Son guide de test de sécurité proposeune centaine de types de test (avec detrès nombreuses sous-catégories)
De nombreux tests ne sont pasautomatisables (contexte métier parexemple)
Failles web : quelles conséquences ?
Le vol des données :- Données des utilisateurs (mots de passe, coordonnées, etc- Données métier (en lien avec la nature du site)- Dans le cas d’applications mutualisées entre plusieurs
APPLICATION WEB MAL SECURISEES
Intuitivement, on pourrait penser que les conséquences de ce type de faille ne sont pas significatives… En fait, elles permettent par
- Dans le cas d’applications mutualisées entre plusieurs (SaaS par exemple), vol de données très diverses en une seule fois
L’exécution d’actions métier (virement, création/suppression de comptes, passage d’ordre, etc.)
La modification du contenu (« Defacement » par exemple)
L’utilisation de votre site pour attaquer ses autres utilisateurs
L’utilisation de vos systèmes pour perpétrer d’autres actions illégales
Utilisation du site web comme porte d’entrée vers le réseau interne, en vue d’un piratage complet de l’entreprise
Failles web : quelles conséquences ?
des utilisateurs (mots de passe, coordonnées, etc.)
le cas d’applications mutualisées entre plusieurs entreprises
#4
Les conséquences des
Intuitivement, on pourrait penser que les conséquences de ce type de faille ne sont pas significatives… En fait, elles permettent par exemple :
le cas d’applications mutualisées entre plusieurs entreprises), vol de données très diverses en une seule fois
(virement, création/suppression de comptes,
par exemple)
ses autres utilisateurs
actions illégales
réseau interne,
Les conséquences des piratages de site web
peuvent être tout aussi désastreuses pour
l’entreprise que les autres formes de piratage
Les erreurs courantes
� Impact d’une vulnérabilité applicative sous-estimée
APPLICATION WEB MAL SECURISEES
A RETENIR
� Développement web sans prise en compte des aspects sécurité
� Données sensibles confiées à des applications très exposées
Les bons réflexes
� Analyse des risques encourus
#4
� Suivi des bonnes pratique de développement sécurisé (OWASP)
� Restriction des données accessibles à l’application au strict minimum
1. Découverte
Recherche de tous leséléments accessibles
2. Corrélation
Des basescontenant toutespubliquementdisponiblesgratuitement
MANQUES DE MISE A JOUR
Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct l’outillage est en effet complètement automatisé
Identification des différentstypes et versions (techniquesde « fingerprinting »)
gratuitement
En entranttype et lacomposant,immédiatementde sécurité
Corrélation
de donnéestoutes les failles
publiquement connues sontsur Internet,
3. Exploitation
Des codes d’attaquesexistent aussi sur Internet(dans certains cas, ilspeuvent être payants : unmarché très important
#3Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct :
est en effet complètement automatisé
simplement leversion d’unon connaît
immédiatement son niveau
marché très importantexiste)
Le piratage est alors trèssimple : l’utilisation d’un outilautomatique ne nécessiteque peu de compétences
Tous les composants doivent être régulièrement mis à jour : une réelle organisation stricte est nécessaire
Equipements / Réseau
o Switchso Routeurso WAFo Load Balancerso Etc.
Windows (Serveurs & Postes utilisateurs)
MANQUES DE MISE A JOUR
Systèmes / Services
Applicatifs
o Windows (Serveurs & Postes utilisateurs)o Linuxo IIS / Apache / o iOS / Androido Bases de donnéeso Etc.
o OpenSSLo CMS : WordPress, o Navigateurs Interneto Suite Microsoft Officeo Antiviruso Etc.
les composants doivent être régulièrement réelle organisation stricte est nécessaire
SwitchsRouteurs
Balancers
Windows (Serveurs & Postes utilisateurs)
#3
Windows (Serveurs & Postes utilisateurs)
IIS / Apache / Tomcat / Weblogic / …iOS / AndroidBases de données
OpenSSLCMS : WordPress, Jahia, Drupal, …Navigateurs InternetSuite Microsoft OfficeAntivirus
Les erreurs courantes
� Pas d’application des mises à jour
MANQUES DE MISE A JOUR
A RETENIR
� Utilisation de systèmes obsolètes ne recevant plus de mises à jour : Windows 95, 98, XP, NT , 2000, 2003
� Mises à jours limitées aux serveurs et / ou postes de travail
Les bons réflexes
� Mises à jour systématiques et obligatoires, voire automatiques
#3
� Migration des systèmes� Circonscription de ceux ne pouvant l’être
� Identification et suivi de l’ensemble des équipements devant être mis à jour
Un réseau interne d’entreprise présente une surface d’attaque énorme
Grande surface d’attaque ?
Infrastructure Windows AD� Authentification LM / NTLM / NTLMv2
Postes utilisateurs Windows � WPAD /
RESEAUX INTERNES FACILES A PIRATER
Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas
Postes utilisateurs Windows � WPAD / SAMBA
Partages de fichiers, souvent très ouverts
Services par dizaines / centaines / milliers
Dizaines, centaines, voire milliers de comptes utilisateurs, et autant de mots de passe
Etc.
Un réseau interne d’entreprise présente une surface
Et alors ?
Contrairement aux tests depuis Internet, iln’y a en général pas (ou peu) de sécurité
#2
Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas
n’y a en général pas (ou peu) de sécuritéréseau
De fait, la plupart des éléments sontaccessibles
Cette surface d’attaque énorme offre unetelle diversité, qu’en général, toutes lesattaques évoquées jusqu’ici sontpotentiellement efficaces !
RESEAUX INTERNES FACILES A PIRATER
Il existe tellement de possibilités de piratage, que tout contrer est très difficile, surtout dans la durée
Sécuriser un réseau interne est une tâche colossale
De plus, le travail doit se faire constamment, impossible de le faire
Tant de possibilités!
#2Il existe tellement de possibilités de piratage, que tout contrer est très difficile, surtout dans la durée
constamment, impossible de le faire « une fois pour toute »
Mettre en place une surveillance est très important : si on ne peut tout bloquer, on peut souvent détecter !
Bien évidemment, cela montre que la sécurité périmétrique est très importante : le pirate ne doit pas pouvoir entrer sur le réseau interne
Les erreurs courantes
� Faible niveau de protection dans le réseau interne
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
le réseau interne
� Absence de surveillance du réseau interne
Les bons réflexes
� Suivi des bonnes pratiques (mises à jour, authentification, permissions, etc.)
#2
permissions, etc.)
� Mises en place de mécanismes de détection (équipement, équipe, etc.)
Les connexions WiFi au réseau interne peuvent aider les pirates
Connexion
Du matériel spécialisé permetune connexion à moyenne
Attaques classiques
� De nombreux réseaux
RESEAUX INTERNES FACILES A PIRATER
une connexion à moyennedistance
Un piratage est donc possibledepuis l’extérieur del’établissement visé
� De nombreux réseauxvulnérables àclassiques et connues
o WEP,o WPA mal configuré,o WPS,o portail captif
au réseau interne peuvent aider
Attaques classiques
réseaux Wifi sont
Aide des utilisateurs à leur insu !
� Certains équipements créent ou se connectent automatiquement
#2
réseaux Wifi sontdes attaques
connues :
configuré,
captif vulnérable
se connectent automatiquement des réseaux Wifi
� Les utilisateurs se connectentparfois au réseau WiFi et auréseau filaire simultanément,créant un pont
� Cas du BOYD
Le cas particulier : le WiFi
Les erreurs courantes
� WEP (quelle que soit la clé)� WPA avec une clé trop faible
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
� Pont réseau vers le réseau interne
� Equipements non maîtrisés (créent ou se connectent aux réseaux WiFi)
Les bons réflexes
� WPA2 avec une clé complexe renouvelée régulièrement ou une authentification par certificat
#2
� Isolation du réseau interne des machines connectées au WiFi
� Revue systématique de la configuration� Désactivation des réseaux non utilisés
Introduction
Les techniques des pirates
et comment s’en protéger
3 JOKER
Introduction
Méthodes classiques
INGENIERIE SOCIALE
Lorsque les attaques purement techniques échouent, ou lorsque les pirates ne craignent pas la détection, ils attaquent le maillon humain
� Pièges par e-mail
� Appels téléphoniques
� Don de matériel piégé
Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne
Leviers de manipulation mentale
“Le cerveau humain est comme un OS sans firewall”
#1Lorsque les attaques purement techniques échouent, ou lorsque les pirates ne craignent pas la détection, ils
sans firewall”
� Cupidité (offres promotionnelles, appât du gain)
� Idéologie (combats politiques, religieux, etc.)
� Menaces / Intimidation / Pression� Ego (mise au défi)� Etc.
Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne
Exemple #1 : Ingénierie sociale par
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet
Méthodologie en 3
INGENIERIE SOCIALE
Connexion à la boîte e
Analyse des informations techniques dérobées (« cracking du hash du mot de passe
Prise de contrôle du poste de la victime
Méthodologie en 3 phases employée habituellement
lors de nos tests d’intrusion via
social engineering
Exemple #1 : Ingénierie sociale par e-mail
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet
#1
Connexion à la boîte e-mail cible
Analyse des informations techniques dérobées cracking du hash du mot de passe »)
Connexion à la boîte cible via webmail
Attaque interne
Prise de contrôle du poste de la victimeUtilisation du poste de la victime pour attaquer
l’annuaire interne et extraire les hashs des mots de passe « Windows Active Directory »
La méfiance à l’égard des mails n’est finalement pas si
Résultat : succès global quasi systématique
Téléchargement du faux formulaire
INGENIERIE SOCIALE
Exécution du cheval de Troie
du faux formulaire
A ce niveau, le pirate a déjà un pied dans l’entreprise visée
La méfiance à l’égard des mails n’est finalement pas si grande
systématique
61,23%Téléchargement
du faux formulaire
#1
31,70%
0% 20% 40% 60% 80% 100%
Exécution du cheval de Troie
du faux formulaire
A ce niveau, le pirate a déjà un pied dans l’entreprise visée
Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
INGENIERIE SOCIALE
Le niveau de sensibilisation moyen est faible #1Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
Le niveau de sensibilisation moyen est faible
Autres anecdotes :
� Transmission de l’offre à des amis� Multiples exécutions du cheval de
Troie� Envoi de données confidentielles
non sollicitées� Etc.
Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande
Voler des données (très) confidentielles est alors aisé
Quelques exemples de données récupérées :
� Documents techniques (mots de passe !)
INGENIERIE SOCIALE
� Données commerciales (ventes, futurs appelsd’offres)
� Données personnelles (mails, agendas, photos,scans de documents administratifs)
� Grille des salaires
� Documents métier, etc.
Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent.
Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande)
des données (très) confidentielles est alors aisé
Remarques :
� Les anti-virus sont souvent aveugles dèslors que l’attaque n’est pas une attaque
#1
lors que l’attaque n’est pas une attaqueconnue (signature référencée)
� A nouveau, attention au faux sentimentde sécurité !
Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent.
La voix humaine est un atout pour mettre la victime en confiance
Exemple #2 : Ingénierie sociale par téléphone
But de l’exercice / Scénario
INGENIERIE SOCIALE
• But : Récupérer le mot de passe del’utilisateur (accès webmail par exemple)
• Exemples de scénarios utilisés :• Fausse migration de la messagerie• Mise en place d’une fausse nouvelle
application de réseau social• Création d’une fausse base
documentaire interne
La voix humaine est un atout pour mettre la victime en confiance
#2 : Ingénierie sociale par téléphone
Résultats
#1
Bien que les appels aient été effectuésdepuis une ligne externe, le vol d’informationa été un grand succès :
• 343 appels téléphoniques
• 166 mots de passe récupérés (48,4%)
Des réactions parfois surprenantes
• « Ne vous en faites pas, je dirige ce département etj’avertis qu’une migration est en cours : tout lemonde vous donnera son mot de passe. »
• « Mon collègue est absent, mais je connais son mot
Morceaux choisis
INGENIERIE SOCIALE
• « Mon collègue est absent, mais je connais son motde passe, je vous le donne également. »
• « Je ne vous donne pas mon mot de passeWindows, c’est interdit ! Mais voici mon mot depasse e-mail… »
• « C’est interdit de donner son mot de passe, maisje n’ai pas envie de subir une coupure mail, donc levoici ! »
A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats !
etle
mot
Pour les rares cas où la personne refusecatégoriquement, pour éviter que l’alerte ne
En cas de refus…
#1
mot
passede
maisle
catégoriquement, pour éviter que l’alerte nesoit donnée, plusieurs méthodes sontenvisageables.
Par exemple, on explique que dans ce cas, lemot de passe va être réinitialisé, et on donneà la personne un (faux) nouveau mot depasse qu’elle doit « bien noter ».
A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats !
Les erreurs courantes
� Manque d’information des
INGENIERIE SOCIALE
A RETENIR
� Manque d’information des utilisateurs
� Ignorance ou refus des risques liés au facteur humain
Les bons réflexes
� Sensibilisations régulières
#1
� Sensibilisations régulières� Campagnes d’informations
� Campagnes de test� Analyse des risques encourus
Les techniques des pirates
et comment s’en protéger
4 Recommandations &
Conclusions
Que faire ?
� Développement : attention, si de mauvais choix structurels affectent les applications utilisées, leur sécurisation peut être quasi-impossible ! De plus attention aux applications web, véritables nids de failles.
� Equipements de sécurité : Leur
Recommandations
Technique
� Equipements de sécurité : Leur simple présence n’ajoute que peu de sécurité. Un paramétrage fin et adapté au contexte est nécessaire. C’est un travail long, parfois complexe, mais indispensable.
� Ne pas négliger la sécurité du réseau interne : la probabilité qu’un pirate s’y retrouve connecté est très forte (notamment dans les grands groupes)
� Surveillance : S’il est difficile d’empêcher toute attaque de réussir, a minima, il faut pouvoir la détecter le plus vite possible pour la neutraliser
Afin de réduire les risques de vols dedonnées suite à des erreurs humaines, ilest fortement conseillé de mettre en placedes campagnes de sensibilisationsrépétées des utilisateurs.
Différents type de support existent :
Humain
Différents type de support existent :
�affiches,
� communication par messagerie,
� e-learning,
� séance de sensibilisation.
Que faire ?
� Maîtriser la sécurité d’un équipement ou de logiciels que vous vous procurez n’est pas forcément chose aisée
� N’hésitez pas à inclure dans vos contrats des clauses liées à la sécurité
� Ces clauses peuvent par exemple
Recommandations
Prestataires / Vendeurs
� Ces clauses peuvent par exemple demander au fournisseur de s’engager sur une liste de points de contrôle sécurité
� Faites jouer la concurrence si un prestataire donné s’y refuse !
Afin d’amener la sécurité d’un périmètreinformatique à un niveau correct,certaines actions peuvent être entreprisespour un coût très modique :
�Création d’une charte informatique
Même sans grand budget
�Mise en place d’une politique de mots depasse décente
� Fermeture à clef systématique deslocaux sensibles
�Elaboration de fiches de réaction face àun incident (virus, intrus, piratage,email suspect, etc.)
�Campagnes de sensibilisation simples(affiches à la machine à café, mailsréguliers, etc.)
Que faire ?Recommandations
Guides officiels :
� Guides publiés :
� Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et médico-social - Structure sans approche SSI
� Règles pour les dispositifs connectés d’un Système d’Information de
� Référentiel d’authentification des acteurs de
� Référentiel d’imputabilité
� Guide pratique spécifique pour la mise en place d’un accès � Guide pratique spécifique pour la mise en place d’un accès
� Guides en cours d’élaboration :
� Guide pour la gestion des habilitations d’accès
� Gestion des événements sécurité
� Guide en concertation :
� Règles pour la mise en place d’un accès web au SIS pour des
� Les documents publiés sont disponibles dans l’espace publication de la PGSSIhttp://esante.gouv.fr/pgssi-s/espace-publication
� Les documents en concertation sont disponibles dans l’espace concertation de la PGSSIhttp://esante.gouv.fr/pgssi-s/espace-concertation
� Les documents en cours d’élaboration seront mis en concertation courant 2016
d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs Structure sans approche SSI formalisée
Règles pour les dispositifs connectés d’un Système d’Information de Santé
Référentiel d’authentification des acteurs de santé
Guide pratique spécifique pour la mise en place d’un accès WifiGuide pratique spécifique pour la mise en place d’un accès Wifi
pour la gestion des habilitations d’accès
Règles pour la mise en place d’un accès web au SIS pour des tiers
Les documents publiés sont disponibles dans l’espace publication de la PGSSI-S : publication
Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI-S : concertation
Les documents en cours d’élaboration seront mis en concertation courant 2016
Conclusions
Un retour d’expérience pessimiste ?
Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est
Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Pour rappel :
« 80 % de la cybercriminalité est liée des bandes organisées financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne
Que faire ?
financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne(Interpol)
Ne sous-estimez pas la menace.Ne surestimez pas votre niveau de sécurité.
Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise
http://esante.gouv.fr/services/referentiels/securite/pgssi
Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est-ce représentatif ?
Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Cet argument est illusoire.
des bandes organisées transfrontalières et représente un coût plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne » plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »
estimez pas la menace.Ne surestimez pas votre niveau de sécurité.
Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise
http://esante.gouv.fr/services/referentiels/securite/pgssi