Sécurité informatique et cryptographie (Chapitre II) 2018 PDF

Summary

Ce document présente les bases de la sécurité informatique au travers des différents types de menaces, et les mesures de protection. Il explique clairement la sécurité informatique et traite des sujets importants du cybercrime.

Full Transcript

Sécurité informatique et cryptographie

Chapitre II:
Sécurité des systèmes d'information:
Menaces et mesures de protection

3ème année LFSI

Wassim Abbessi
2018 Introduction 1
 Plan

Introduction

Enjeux de la sécurité des SI

Caractérisation des menaces

Les logiciels malveillants

Comprendre l'attaque pour mieux se défendre

Mesures de protection

Nouvelles tendances et nouveaux défis

2
 Introduction : Préjugés et fausses
idées sur la sécurité informatique

Mon système est sécurisé
– La sécurité absolue n'existe pas en informatique

Je ne suis pas informaticien. La SI ne me concerne pas
– La SI concerne tous les employés d'une organisation

Pour être en sécurité, j'ai installé un antivirus
– un antivirus ne protège que contre un seul type de menaces

Sécurité informatique= problème technique
– La sécurité informatique est un problème humain
3
Technologie

Procédures
et
senibilisation

Facteurs
humains

4
 Définitions (iso 27000)

Risque: Possibilité que des menaces exploitent des
vulnérabilités d'un actif (…) informationnel et nuisent à un
organisme

Menace: cause potentielle d'un incident indésirable qui peut nuire à un
système

Vulnérabilité: Faille dans un actif ou dans une mesure de sécurité qui
peut être exploitée par un menace

Attaque: tentative de détruire, rendre public, modifier, invalider, voler
ou utiliser sans autorisation un actif ou de faire un usage non autorisé
de celui-ci

Actif: Tout élément lié à l'information et ayant une valeur pour
l'organisme (service, données, moyen)

5
 Qui attaque les systèmes ?

Les pirates (hackers)
– Attaquent les systèmes juste pour le plaisir
– Généralement n’endommagent pas les systèmes
attaqués

Les cyber-criminels (crackers)
– Attaquent pour effectuer des actes criminels
– Vols, falsification, chantage, etc.
– Représentent un grand danger

Les débutants (script kiddie)
– Attaquent les systèmes sans connaissances
informatiques poussées
– Utilisent des outils et logiciels de l’Internet
– Peuvent être eux-mêmes cibles d’autres attaques 6
 Qui attaque les systèmes?

Les auditeurs de sécurité
– Tests de pénétration (audit)
– Recherche de failles avant les pirates
– Ethical hacking / Offensive security / White Hat
– Comprendre l’attaque pour mieux se défendre

Des organismes professionnels
– Détectives privés
– Journalistes
– Services gouvernementaux

Autres...

7
Pourquoi on attaque les systèmes?

Curiosité et découverte

Démonstration des talents

Pour le fun

Vengeance

Journalisme d'investigation

Chantage et gain d’argent

Idéologie politique, religieuse, etc.

Concurrence entre les personnes, les organismes ou les pays

La mauvaise manipulation des systèmes

Anarchisme

8
 Impact des intrusions

Une intrusion réussie peut causer des
dommages graves à la victime:

– Dommages matériels

– Dommages financiers

– Dommages
psychologiques

9
 Deux types de menaces

Menaces structurées (Exemple: stuxnet 2010 )
– Résultat d’un grand effort et une planification précise
– Très dangereuses car organisées
– Élaborées par un groupe de personnes ayant un but précis
– stuxnet (6 mois de dév. et une équipe de 5 à 10 personnes pour écrire
le programme)

Menaces non structurées (Exemple: Sasser 2004 100M$)
– Plus fréquentes
– Résultat d’une recherche aléatoire de failles sur Internet
– Écrites généralement sous forme de scripts automatisés
– Élaborée par des personnes cherchant des occasions pour en profiter
au cas par cas. 10
 Les malwares

Cheval de Troie (trojan)

Virus

Vers (worm)

Logiciel espion (spyware)

Réseaux de bots (botnets)

Keyloggers

Portes dérobées (backdoor)

Attaques Bluetooth (bluesnarf)

Logiciels demandant une rançon (ransomware)... 11
 Les virus

Programme capable d'infecter d'autres
programmes pour qu'ils contiennent une copie de
lui-même

Change les configurations de l’OS

Peut détruire le système et le mettre hors service
en consommant toutes les ressources système

Peut changer de nom, de taille et de forme
(polymorphe)

Peut endommager les supports de stockage
12
 Les vers
 Programme peu nocif mais qui se propage
rapidement
 Utilise le PC comme base pour se répandre
sur le réseau et infecter le plus grand nombre
de PCs
 Peut viser une cible fixée à une date future
 Risque de congestion des réseaux à cause
de la rapidité de propagation
 En 2000, le ver loveletter a infecté 10% des
ordinateurs du monde en quelques heures
(8.7 milliards de dollars de pertes)
13
 Les spywares

Programmes conçus pour espionner les PC des victimes

Apparaissent sous forme d’un jeu ou d’un utilitaire gratuit

Surveillance de l’activité des utilisateurs via les cookies,
les toolbars et autres techniques

Certains spywares sont utilisés pour faire le profiling des
clients pour des campagnes de marketing

Souvent reconnus par le changement de la page
d’accueil et l’installation de barres d’outils

Peuvent rediriger l’internaute vers des pages non
demandées

Facebook ? Google ?
14
 Botnets
 Une des menaces les plus dangereuses
 Programme qui se propage rapidement par divers
moyens et reste caché
 Le maître du botnet contrôle à distance un grand
nombre de Pc (100 000 et +)
 Les bots participent à des attaques de masses
DDoS et à des opérations de piratage et de spam
 Difficulté de remonter au maître du bot car il est
caché derrière plusieurs niveaux de contrôle du
botnet
 Certains botnets appartiennent à des réseaux
criminels (Mirai, Necurs)
15
 keylogger
 Programme ou dongle qui enregistre
tout ce qui est tapé au clavier
 Enregistre les données et les envoie
au pirate
 Permet de récupérer des mots de
passe, des numéros de cartes de
crédit
 Utilisé aussi dans l’espionnage
industriel pour récupérer des rapports
et des documents confidentiels
 Existe aussi sous forme d’un
adaptateur USB
16
 Cheval de Troie

Logiciel furtif qui vole des informations ou
ouvre des comptes utilisateurs sur la machine
victime

Se cache dans un autre programme utile (jeu,
crack,écran deveille,...)

Se lance automatiquement et n’apparait pas
lorsque le programme utile est lancé

Ne se reproduit pas spontanément
17
 Porte dérobée (backdoor)
 Programme qui ouvre un accès sur un
ordinateur pour se connecter dessus à
distance
 Profite d'une faille de sécurité critique
 Le hacker utilise cette faille par la suite
pour contourner toutes les mesures de
sécurité car il utilise une connexion sortante
 Le hacker n’a pas besoin d’authentification
 Le hacker a ensuite un accès total sur le
PC et peut donc entrer sur le réseau local
et les serveurs
18
 Bluesnarfing

 Nouveau type d’attaque qui vise
smartphones et équipements mobiles
 Utilise une faille dans le protocole
bluetooth pour un accès non autorisé
sur les équipements et accéder aux
données
 Permet au hacker d’utiliser le
téléphone pour dérober des
informations, faire des appels ou se
connecter au réseau de données
19
 Ransomware

Menace relativement nouvelle
et à la mode

Prend en otage un PC contre
de l'argent

Chiffre les données des
utilisateurs et les efface après
un timeout

Bloque tous les accès à
l'ordinateur
Nouveaux ransomwares détectés
par an (Symantec)
Utilise le mail comme moyen
principal de propagation
20
 Mesures de sécurité contre les
malwares

Installation de l’anti-virus sur tous les PC

S’assurer que tous les PCs font la mise à jour
régulièrement

Interdire l’installation des logiciels sans
autorisation par les responsables de sécurité
informatique

Installer les mises à jour et services packs
pour les logiciels et OS

21
Comprendre les attaques pour mieux
se défendre

22
 Découverte de l’environnement

Pour que l’attaque soit possible, le hacker a besoin
de collecter des informations sur le système cible

Le facteur humain et psychologique jouent un rôle
déterminant dans la réussite ou l’échec de la
découverte:
– Fausses demandes et alertes
– Utilisation du téléphone, email et des lettres papier
– Exploitation des faibles connaissances en informatique
des utilisateurs
– Recherche même dans les poubelles (trashing)
➔
Nécessité de sensibiliser tout le personnel à la SI 23
 Découverte passive

Recherche d’informations sur l’ordinateur cible sans envoyer de
données :
– Noms des machines et adresses IP
– Architecture du réseau et comment se fait l’accès vers Internet
– Noms d’utilisateurs et mots de passe
– Logins des administrateurs réseau et système
– Services et applications installées
– Les problèmes connus dans le réseau, les systèmes et les applications
– Toutes autres informations
24
 Découverte passive

La découverte passive peut se faire de l’intérieur
du réseau par un sniffer (wireshark)

Ecouter tous les échanges d’informations sur le
réseau pour récupérer des informations utiles

Ecoute facilitée par les réseaux wifi (plus efficace
car ce sont des réseaux de diffusion)

Déterminer les services ouverts en consultant les
numéros de ports

25
 Découverte active

Envoi d’informations ciblées sur le réseau cible pour
récupérer des informations plus précises
– Les machines en fonctionnement
– Les emplacements des routeurs, proxies et firewalls
– Les OS utilisés et leur version
– Les ports ouverts et les services actifs

La recherche vise à trouver une faille ou une méthode
d’accès non contrôlé

Exemple de logiciels: nmap, nessus et autres

Peut être détectée et contrée

26
27
Mesures de sécurité contre la découverte

Ne pas publier des informations sensibles sur les réseaux

Ne pas échanger d’informations sur les réseaux, les serveurs
et les systèmes surtout les problèmes et les pannes sauf sur
un canal sûr

Sensibilisation des employés pour ne pas traiter les problèmes
de PC qu’avec le personnel de l’entreprise et sur un canal sûr
avec nécessité de connaître l’interlocuteur

Ne pas autoriser l'installation des logiciels d’écoute et punir les
fautifs (utiliser une technique d’interdiction)

Enregistrer tous les accès suspects dans les logs pour y
revenir au besoin et les logs doivent être sécurisés

Installation de détecteurs d’intrusion et des honey pots
28
 Usurpation d’identité (spoofing)

Utilisation de l’identité d’une autre personne sur le réseau
(cacher la vraie identité de l’utilisateur)

Convaincre l'utilisateur qu’il communique avec une machine
ou un utilisateur connu

Utilisé pour contourner l’authentification et les firewalls

Les identités qu’on peut voler:
– Les adresses (MAC, IP, mail)
– Les adresses web (phishing)
– Les noms de domaines DNS (Pharming)

Pour voler les adresses on utilise:
– L’empoisonnement du cache
– Le déni de service 29
 Vol de session (hijacking)

Permet l’accès à un système
sans mot de passe

Permet de voler les comptes
dans les réseaux sociaux

Attaque basée sur la
réutilisation des cookies

Le hacker peut mettre la
victime hors service pour se
connecter à sa place

Exemple classique: vol de
session TCP (1994)

30
 L’homme au milieu (MITM)

Le hacker change la configuration du
chemin des données entre source et
destination

Joue le rôle d’un proxy web ou routeur

Le hacker peut alors:
– Espionner les communications
– Voler des données sensibles
– Récupérer des comptes et des mots de
passe (et des cookies)
– Changer le contenu des messages
échangés
– Rediriger le trafic vers d’autres sites
– Réutiliser les données par une attaque
de rejeu (replay attack)
31
 Man in the middle

Le hacker peut devenir MITM par les moyens suivants:
– Empoisonnement des caches des protocoles de résolution
d’adresses (ARP et DNS)
– Usurpation des identités des serveurs ou des routeurs après un
DoS
– Changement de la table de routage locale
– Reconfiguration des switches, routeurs ou points d’accès wifi
– Le sniffing sur le réseau

Le point commun entre le vol de session et l’homme du
milieu est qu’il n’existe pas de solutions efficaces pour s’en
protéger même en utilisant le cryptage

La seule solution est la vigilance et la surveillance du réseau
32
 Attaque DoS: denial of service

Mise hors service d’un appareil ou
un réseau en recevant un très grand
nombre de connexions simultanées

Ou des données imprévues

Peut être une attaque distribuée
(DDoS)

Opération presque légale

Remplir les files d’attente par des
paquets inutiles

En 2016, DDoS contre OVH à
1Tbps !
33
 Déni de service

Techniques les plus utilisées :
– Inondations SYN (SYN flood)
– Inondations PING
– Attaque XMAS
– Attaque de fragmentation
– Ping truqué
– Utilisation excessive de la fragmentation
– Botnets
– Sur les sites webs: générateurs automatiques de requêtes web
34
 Solutions contre le DoS

Renforcer la disponibilité par la redondance

Répartition géographique des serveurs et utiliser
des OS et technologies différentes

Installation de détecteurs d’intrusion (IDS)

Interdire la fragmentation sur les réseaux

Définir une limite du nombre de demi-connexions

Ne pas accepter des connexions anonymes

Pour les sites web: utiliser des captcha

35
 Technique d’injection SQL

Mettre des instructions à la place des données pour changer le
comportement du programme original

Vise particulièrement les SGBD et les systèmes d’information

Permet de contourner l’authentification

Exemple en langage PHP:
$query=‘Select count(*) from users where login=‘+$login+ ‘and
password=‘+$password;

On met: $login=aaa et $password= ‘ or true#’

Permet de contourner l’authentification

Nécessite la connaissances du schéma de la base de données

Même les SGBD les plus robustes sont vulnérables
36
Injection SQL

37
 Technique d’injection SQL

Pour se protéger de ces attaques (programmation):
– Vérifier et valider les données des utilisateurs avant leur
traitement
– Vérifier l’existence d’opérateurs logiques et expressions
régulières dans les données saisies
– Installer les dernières mises à jour et correctifs des SGBD et
des langages de programmation web coté serveur
– Limiter la taille des champs dans les formulaires
– Utiliser des types de champs adaptés dans les formulaires
– Ne pas donner tous les droits à un seul compte dans le SGBD
– Désactiver le login à distance pour les comptes
d’administration du SGBD
38
 Débordement de buffer

Affecter à une variable une valeur dont la taille dépasse la zone
mémoire allouée

Lors du stockage de cette valeur dans la RAM, la donnée écrase
d’autres données et même des instructions

Le hacker peut alors profiter ce cette défaillance pour exécuter un
code spécifique

Causes principales :
– Mauvaise qualité de code

– Pression faite sur les programmeurs dans les délais de livraison

– Pas ou peu de temps pour tester convenablement le programme

39
 En situation normale la
pile contient les
variables, les adresses
des sous-programmes
et les points de retour
 Lors du débordement,
le hacker place dans les
variables des données
qui écrasent la variable
2, la variable 1 et le
point de retour
 Le point de retour
devient l’adresse
d’instructions
permettant l’attaque
40
 Protection contre les attaques
ciblées

Chiffrer les données sensibles en transit et lors du
stockage pour limiter les risques même en cas d'attaque

Prendre des mesures pour forcer les utilisateurs à :
– Utiliser des mots de passe forts
– Changer régulièrement les mots de passe

Ne jamais utiliser les mots de passe par défaut ou
simples à deviner

Eviter la réutilisation des mêmes mots de passe partout

Partager les rôles mais pas les mots de passe

Désactiver les comptes non utilisés et limiter les
comptes privilégiés
41
Mots de passe les plus utilisés
par les hackers (Symantec)

Mots de passe les plus utilisés
42
par les internautes (splashdata)
 Protection contre les menaces

Délimitation claire du périmètre du réseau et les points d'entrée
potentiels des attaques (y compris les supprts de stockage amovibles)

Contrôler les points d'entrée sans altérer le trafic légitime

Mettre en place des firewalls pour le filtrage du trafic réseau indésirable

Mettre en place des détecteurs d'intrusion et veiller à les garder à jour

Concevoir des architectures de sécurité solidaires sans SPoF

Isoler les machines infectées dès la détection de la menace et les
nouvelles machines installées avant l'application des mises à jour

Scanner tous les emails entrants et sortants contre les malwares

Mettre les messages infectés en quarantaine chez les administrateurs

Les pièces jointes exécutables (même compressées) devraient être
bloquées en entrée et en sortie sauf exceptions

43
 Protection contre les menaces

Un logiciel antivirus doit être installé et à jour de manière
continue sur tous les équipements à risque

Sauvegarde des données hors réseau selon une périodicité
étudiée et pendant une durée bien définie (de 3 mois à
quelques années selon le domaine et les lois)

Des plans de continuité de service doivent être définis en cas
d'incidents majeurs impliquant des malware ou des attaques
(disponibilité, récupération et aspects contingents)

Tous les incidents doivent être documentés (statistiques,
améliorations, points faibles)

Sanctionner les actions délibérées qui empêchent le
fonctionnement normal des systèmes de contrôle
44
 Protection contre les menaces

La configuration, le maintien et le monitoring des mises à jour des
OS et l'application des patches de sécurité le plus tôt possible

Automatiser cette installation autant que possible (serveur
antivirus et WSUS)

Retirer les logiciels non maintenus par leurs éditeurs (orientation
vers l'open source)

Tester tout logiciel dans une zone sure avant de déployer à grande
échelle

Effectuer des tests sur l'intégrité des fichiers sur les systèmes
pour détecter les changements non autorisés (signes d'infections)

Opter pour des supports d'installation fiables (CD,DVD) et vérifier
les checksums des programmes lors de leur téléchargement

45
 Protection des sites web

Analyser régulièrement le site à la recherche de
vulnérabilités et malwares

Sécuriser l'utilisation des cookies (secure flag)

Utiliser les connexions sécurisées HTTPS/SSL

Minimiser l'utilisation de plugins sur les sites CMS

Désactiver le mode débogage et les bannières des
serveurs

Equilibrer la charge sur plusieurs serveurs pour améliorer
la disponibilité

Mettre en place des outils d'analyse des journaux pour
détecter les attaques sophistiquées et distribuées
46
 Protection des équipements
mobiles

Installer les mises à jour.

Ne télécharger les application que de sources
fiables

Vérifier les permissions demandées par les
applications

Installer des applications de sécurité mobile

Sauvegarder les données importantes sur Nombre de malwares mobiles
d'autres équipements ou supports détectés par an (Symantec)

Favoriser l'utilisation des nouvelles générations
de réseau (4G-3G-2G)

Désactiver les réseaux s'ils ne sont pas utilisés
(WiFi, NFC, bluetooth, etc.)

Chiffrer l'appareil s'il contient des données
sensibles
47
 Protection dans l'Internet
des objets (IoT)

Acheter des objets conncectés qui prennent en charge la
sécurité

Auditer les équipements IoT sur le réseau périodiquement

Chiffrer les données envoyées par les objets (SSH, WPA2)

Désactiver l'accès à distances aux objets si non nécessaire

Utiliser les câbles à la place du WiFi si possible

Mettre à jour les firmware des objets

S'assurer que les pannes matérielles ne compromettent
pas la sécurité des objets

48
 Responsabilités des IT

Responsable de la sécurité informatique:
– Maintenir une politique de sécurité
– Chapauter et conseiller les collaborateurs sur les mécanismes de contrôle
– Mettre en oeuvre des activités d'éducation et sensibilisation des employés

Administrateurs réseau, système, BD
– Concevoir, planifier, installer et maintenir les solutions techniques contre
les menaces
– Gérer les incidents majeurs et assurer la continuité de service

Equipe de support informatique
– Définir et réaliser les opération de réponse aux menaces avec les équipes
d'administrateurs
– Offrir une première ligne de support pour tous les problèmes liés aux
menaces et aux logiciels clients

49
 Responsabilités des
utilisateurs

Employés
– Respecter les mesures de sécurité
– Être averti des risques et de l'importance de la SI par des
formations, des guides et des manuels de procédure
– Signaler tous les incidents et les mails suspects aux
équipes de support
– Les incidents de SI ne doivent pas être discutés ou publiés
avec des étrangers (Trashing et social engineering)

Auditeur interne
– Vérifier la compatibilité des mesures de sécurité avec les
autres procédures internes de l'organisation

50
 Conclusion:
Nouvelles tendances

Prospérité du marché du cybercrime
– Botnet-as-a-service
– Ransomware-as-a-service

Les objets connectés deviennent des sources
d'attaques

BYOD (Bring Your Own Device):
– disparition du périmètre de sécurité

Fileless malware (RAM)

Importance du firewall humain
51