Avril 2013Franck Franchin1
Master Droit - Franck Franchin - © 2013 Les systèmes ou les actifs essentiels au niveau d’unpays pour assurer le fonction...
Master Droit - Franck Franchin - © 2013 L’Union Européenne a défini en 2006, puis 2009◦ EPCIP - European Programme for Cr...
Master Droit - Franck Franchin - © 2013 Militaire :◦ ‘Pearl Harbor électronique’◦ Atteinte aux intérêts vitaux de l’Etat◦...
Master Droit - Franck Franchin - © 20135
Master Droit - Franck Franchin - © 2013 Première version active probablement depuis Juin 2009 Détecté par la société bié...
Master Droit - Franck Franchin - © 2013Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèr...
Master Droit - Franck Franchin - © 2013 Quelques chiffres :◦ Développement évalué à 10 hommes.ans◦ Entre 6 et 8 personnes...
Master Droit - Franck Franchin - © 2013 Découvert en Mai 2012 Charge virale importante : 20 Mo Inclus un serveur SQLite...
Master Droit - Franck Franchin - © 2013 Découvert en Juin 2012 Il aurait commencé à infecter les ordinateurs enSeptembre...
Master Droit - Franck Franchin - © 2013 Aucun autre malware n’a jamais intégré ce type demécanisme Payload étrange : une...
Prochain SlideShare
Chargement dans…5
×

Cours CyberSécurité - Infrastructures Critiques

1 379 vues

Publié le

Cours CyberSécurité - Université Versailles St Quentin - Infrastructures Critiques et vitales - Avril 2013

Publié dans : Formation
0 commentaire
4 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 379
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cours CyberSécurité - Infrastructures Critiques

  1. 1. Avril 2013Franck Franchin1
  2. 2. Master Droit - Franck Franchin - © 2013 Les systèmes ou les actifs essentiels au niveau d’unpays pour assurer le fonctionnement de la société etde l’économie :◦ Réseaux de production et de distribution de l’énergie◦ Réseaux de production et de distribution de l’eau◦ Réseaux de transports des biens et des personnes◦ Réseaux de télécommunications◦ Production et distribution de la nourriture◦ Santé publique◦ Services financiers◦ Sécurité de l’Etat, des biens et des citoyens Une définition plus limitée restreint l’expression auxbesoins vitaux d’un pays
  3. 3. Master Droit - Franck Franchin - © 2013 L’Union Européenne a défini en 2006, puis 2009◦ EPCIP - European Programme for Critical InfrastructureProtection◦ Chaque infrastructure critique identifiée doit disposerd’un OSP (Operator Security Plan) : identification desactifs, analyse de risques et de vulnérabilités,procédures et mesures de protection◦ ENISA Les USA ont commencé à mettre en place unedoctrine en 1996 (programme CIP), étendue en2001 dans le ‘Patriot Act’
  4. 4. Master Droit - Franck Franchin - © 2013 Militaire :◦ ‘Pearl Harbor électronique’◦ Atteinte aux intérêts vitaux de l’Etat◦ Cyberterrorisme Industrie :◦ Vol de propriété intellectuelle◦ Perte d’exploitation◦ Cybercriminalité
  5. 5. Master Droit - Franck Franchin - © 20135
  6. 6. Master Droit - Franck Franchin - © 2013 Première version active probablement depuis Juin 2009 Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez un deses clients iraniens W32.Stuxnet - 2 serveurs C&C situés en Malaisie Propagation via USB (clé) Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS) MAJ possible sans C&C via un P2P (RPC) Cible : Siemens SIMATIC Series 7 PLC/WinCC Infection différente selon la cible (PLCs) Entre 20’000 et 50’000 PCs contaminé, selon Symantec, plus de 100’000selon Kaspersky 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan Payload complexe : vol de données, compromission, sabotage Des sites de support ont été victimes de DoS (Ping Flood) depuis la Chine
  7. 7. Master Droit - Franck Franchin - © 2013Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 msLa cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de NatanzFamille de PLC concernés :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPUPourtant, l’Iran ne devrait pas disposerde technologies Siemens Scada(sanctions ONU) ?
  8. 8. Master Droit - Franck Franchin - © 2013 Quelques chiffres :◦ Développement évalué à 10 hommes.ans◦ Entre 6 et 8 personnes/teams différents◦ Un développement étalé sur plusieurs années (différentes versions d’outilsde développement)◦ Une faille zéro-day peut se négocier à $200’000 (il y en avait 4) Les moyens :◦ Les certificats ont été volés à deux sociétés sur le même site physique enChine - Le vol ‘logique’ à la Zeus est donc statistiquement peu probable et levol ‘physique’ par intrusion ou compromission est à privilégier◦ Les clés USB ont probablement été introduites en Iran via le sous-traitantrusse ou via des opérationnels compromis. Plusieurs versions semblentavoir été introduites sucessivement Les fantasmes :◦ Stuxnet contient dans son code le mot ‘Myrtus’ qui fait référence au Livred’Esther de l’Ancien Testament, reine perse qui a sauvé son peuple del’extermination
  9. 9. Master Droit - Franck Franchin - © 2013 Découvert en Mai 2012 Charge virale importante : 20 Mo Inclus un serveur SQLite et une machine virtuelle Lua Interception d’emails, de fichiers, enregistrement deconversations en ligne Serait antérieur à Stuxnet ! Coût évalué à $100M par Kaspersky Labs, 5 ans dedéveloppement Cible : Iran Objectif : collecte de données pré-Stuxnet9
  10. 10. Master Droit - Franck Franchin - © 2013 Découvert en Juin 2012 Il aurait commencé à infecter les ordinateurs enSeptembre 2011 Kit Cheval de Troie destiné à espionner les échanges dedonnées bancaires Se déclenche sur des mots clés comme :paypal, mastercard, eurocard,visa, americanexpress, bankofbeirut, creditlibanais, amazon, facebook, gmail, hotmail, ebay mais passur Audi Bank qui est un poids lourd local Cible : banques libanaises principalement Utilise la même vulnérabilité ‘clé USB’ que Stuxnet etFlame10
  11. 11. Master Droit - Franck Franchin - © 2013 Aucun autre malware n’a jamais intégré ce type demécanisme Payload étrange : une partie du code reste non déchiffrécar la clé de déchiffrement serait lié à une configurationparticulière… Même famille : Duqu, Stuxnet, Flame, Gauss11

×