Tour d’horizon des méthodes
de vol d’information
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 2
Sommaire
• Qu’est-ce que la Réserve citoyenne cyberdéfense ?
...
Qu’est-ce que la Réserve
citoyenne cyberdéfense ?
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 4
La Réserve Citoyenne Cyberdéfense
La RCC a été crée à la suit...
Spécificités des cyber-menaces
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 6
Côté attaquant :
• Outils d’attaque faciles à trouver, nécess...
Les méthodes utilisées
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 8
Les réseaux sociaux
Contexte
L’utilisation des réseaux sociau...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 9
Les réseaux sociaux - cas concret
Le Tigre : Marc L. Genèse d...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 10
Utilisation de services grand public
Définition
De plus en p...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 11
« Vous accordez à Google le droit permanent, irrévocable, mo...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 12
Les smartphones
Définition
Se dit d’un téléphone fournissant...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 13
Les smartphones – cas concret
Piratage d’Iphone
Début 2011, ...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 14
Vol d’ordinateurs portables
• En 2010, 3.300 portables étaie...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 15
Définition
Se dit d’intrusions qui mêlent l’ingénierie socia...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 16
Les faits
Début 2011, 150 postes du ministère de l’Economie,...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 17
Les codes malveillants
Définition
Se dit d’un programme ayan...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 18
Du wifi à tous les étages !!
Une immense majorité de personn...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 19
La corbeille à papier…
Si la cible est géographiquement proc...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 20
L’approche physique
Généralités
Dans l’hypothèse (improbable...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 21
L’approche physique – cas concret
Le keylogger (ou enregistr...
Protéger son identité numérique
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 23
L’authentification… c’est quoi ?
Pour m’authentifier j’ai be...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 24
La robustesse d’un mot de passe
Temps nécessaire pour casser...
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 25
Comment choisir son mot de passe
Astuce 1 - Prendre la 1ère ...
Que faire en cas de piratage ?
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 27
Que faire en cas de piratage
• Vous constatez une intrusion ...
28
Avez-vous des questions ?
Hervé MICHELLAND
hmichelland@hotmail.com
06.77.99.44.90
Prochain SlideShare
Chargement dans…5
×

Tour d’horizon des méthodes de vol d’information

905 vues

Publié le

Présentation effectuée par M. Hervé Michelland lors de l'inauguration des #SecurityTuesday en région PACA le mardi 10 juin à Antibes. #STRPACA

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
905
Sur SlideShare
0
Issues des intégrations
0
Intégrations
97
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Tour d’horizon des méthodes de vol d’information

  1. 1. Tour d’horizon des méthodes de vol d’information
  2. 2. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 2 Sommaire • Qu’est-ce que la Réserve citoyenne cyberdéfense ? • Spécificités des cyber-menaces • Les méthodes utilisées • Protéger son identité numérique • Que faire en cas de piratage • Questions / réponses
  3. 3. Qu’est-ce que la Réserve citoyenne cyberdéfense ?
  4. 4. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 4 La Réserve Citoyenne Cyberdéfense La RCC a été crée à la suite du rapport du Sénateur Jean-Marie Bockel en 2012. Ce rapport a notamment mis en évidence le retard de notre pays en matière de cyberdéfense, et ses conséquences (ex. pillage des entreprises) La RCC rassemble des professionnels de la sécurité informatique qui souhaitent – de manière bénévole – mettre à disposition leurs compétences. Rejoindre la Réserve est un engagement citoyen et patriote. Nos actions sont essentiellement pédagogiques. Les interventions sont réalisées auprès de collectivités, d’entreprises, d’administrations, d’établissements scolaires, de journalistes, de personnalités politiques, etc.
  5. 5. Spécificités des cyber-menaces
  6. 6. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 6 Côté attaquant : • Outils d’attaque faciles à trouver, nécessitant peu de compétences techniques, peu chers (voir gratuits), • Attaques éphémères, auteurs difficiles à identifier (ex. réseau TOR), • Opérations très rentables, • Il suffit de réussir une seule fois… Côté défenseur : • Défense coûteuse (Opex et Capex), • Difficile à maintenir (SI ouvert et en constante évolution), • Nécessite de fortes compétences techniques, • Doit être opérationnelle 24h/24, 365j / an, • Des contraintes juridiques de plus en plus fortes pour les entreprises (ex. obligation de publication en cas de perte de données clients) Black-hat vs White–hat… le match
  7. 7. Les méthodes utilisées
  8. 8. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 8 Les réseaux sociaux Contexte L’utilisation des réseaux sociaux privés et professionnels a explosé ces dernières années. Rapidement, des problèmes de divulgation d’informations, et de respect de la vie privée sont apparus (notamment le droit à l’oubli). Ces questions se posent dans la sphère professionnelle. Exploitation Les réseaux sociaux sont de parfaites sources d’information pour de l’ingénierie sociale. Plusieurs virus ont aussi été crées pour s’y propager (notamment sur Twitter) Quelques chiffres 25% des fuites d’informations sensibles sont issues des réseaux sociaux 15% des profils contiennent des informations professionnelles sensibles
  9. 9. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 9 Les réseaux sociaux - cas concret Le Tigre : Marc L. Genèse d’un buzz médiatique Ce journal a l’idée de prendre une personne au hasard, de collecter toutes ses traces publiées librement sur internet, et d’en faire un article… http://www.le-tigre.net/Marc-L.html Facebook sort bientôt Graph-Search En combinant votre profil, les pages « aimées », les lieux visités, les employeurs déclarés, Graph-Search répond à toutes sortes de questions : • Quel film a été le plus apprécié de mes collègues • Qui est syndiqué dans mon entreprise, • Y a t’il des scientologues dans mon quartier ? http://rezonances.blog.lemonde.fr/2013/02/09/nous-avons-teste-graph-search-le-nouveau-moteur-de-recherche-sur-facebook/ Quand l’industrie de la défense traque sur les réseaux sociaux La société Raytheon a développé RIOT (Rapid Information Overlay Technology). Ce logiciel utilise les données des réseaux sociaux pour traquer les personnes et prédire leurs déplacements futurs. http://www.numerama.com/magazine/25070-raytheon-riot-l-espion-que-vous-nourrissez-d-informations.html
  10. 10. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 10 Utilisation de services grand public Définition De plus en plus de personnes utilisent dans le cadre de leur activité professionnelle, des outils prévus pour le grand public : messagerie web (yahoo mail, gmail, hotmail…), calendriers partagés (google Calendar), échange de fichiers (Dropbox, etc.), travail collaboratif (google doc), téléphonie (Skype). Problèmes rencontrés Ces services ont été prévus pour le grand public, afin d’échanger de manière gratuite des informations. Mais la sécurité qui accompagne ces services est à l’image du prix payé par ses utilisateurs…. Les niveaux de disponibilité, d’intégrité et surtout de confidentialité proposés ne sont pas compatibles avec des besoins professionnels
  11. 11. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 11 « Vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout contenu que vous avez fourni, publié ou affiché sur les services Google ou par le biais de ces derniers. » Conclusion Il est facile de comprendre l’incompatibilité entre ces services et une activité professionnelle….. Utilisation de services grand public – cas concret Extrait des Conditions Générales d’Utilisation des services de Google (Gmail, Google Calendar, Picasa, Google+, etc…)
  12. 12. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 12 Les smartphones Définition Se dit d’un téléphone fournissant des fonctionnalités d'agenda, de calendrier, de navigation internet, de consultation de courrier électronique, de messagerie instantanée, de GPS, etc. La quantité d’informations professionnelle sensibles qu’ils contiennent est souvent sous estimée. Exploitation Les utilisateurs protègent rarement leur smartphones via un code. Pire un cinquième des codes sont très faciles à deviner (ex 1234, 0000, 2580, etc). Par ailleurs, le nombre de vol de smartphone a explosé depuis 2011 … Ces téléphones représentent un risque réel de divulgation d’informations.
  13. 13. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 13 Les smartphones – cas concret Piratage d’Iphone Début 2011, un expert allemand publie sur Youtube une vidéo ou il pirate (de manière très simple) un Iphone en 6min. Apparait alors en clair tous les mots de passe stockés dans le téléphone (censés être chiffrés) Android Market … attention danger Sur les 30 applications les plus populaires: • 7 transmettent le n° de série du téléphone • 15 envoient vos données de géolocalisation Aucune vous demandent l’autorisation… 80% des applications qui accèdent à vos informations privées le font sans autorisation de l’utilisateur
  14. 14. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 14 Vol d’ordinateurs portables • En 2010, 3.300 portables étaient volés chaque semaine dans les 8 principaux aéroports Européens • La majorité des victimes déclaraient détenir des informations confidentielles • Plus de la moitié des postes n’avaient aucune mesure de protection particulière http://www.lefigaro.fr/actualite-france/2010/01/30/01016-20100130ARTFIG00186-ces-ordinateurs- victimes-des-aeroports-et-des-gares-.php Sous cet éclairage, les commentaires du démonstrateur de la société Raytheon prennent un nouvel aspect : « Si vous voulez mettre la main sur Nick, ou mettre la main sur son ordinateur portable, vous devriez visiter la salle de sport le lundi matin à 6 heures » http://www.numerama.com/magazine/25070-raytheon-riot-l-espion-que-vous-nourrissez-d-informations.html Exemples de solutions agrées ANSSI: • TrueCrypt (logiciel gratuit) • Prim’x Zed! (logiciel payant) • Globull (hardware payant) Le Scytale
  15. 15. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 15 Définition Se dit d’intrusions qui mêlent l’ingénierie sociale, et l’exploitation de failles techniques. Ce type d’attaque se doit d’être aussi discret que possible afin de rester en place le plus longtemps possible. Le but est exclusivement le vol d’informations En 2011, a été découvert un virus (W32.Duqu) dédié à l’exfiltration d’informations. Totalement furtif, il s’autodétruit au bout de 36 jours. Les menaces persistantes avancées Exploitation Ce type d’attaque nécessite de réelles compétences techniques : par exemple fabriquer une pièce jointe contenant un code malicieux exploitant une vulnérabilité précise. Sinon, des logiciels spécialisés sont disponibles pour quelques dizaines / centaines d’Euros (ex. BlackShades)
  16. 16. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 16 Les faits Début 2011, 150 postes du ministère de l’Economie, des Finances et de l’Industrie ont été piratées. Découverte du piratage par hasard. La cible Les informations volées concernaient l’organisation du sommet G20, et la politique de la France au niveau international. L’origine de l’attaque n’a pas été communiqué. Certitude d’un piratage « d’Etat » Méthode utilisée Usurpation de l’email d’une personne pour diffuser un mail avec un fichier corrompu (PDF). Ce dernier a permis le téléchargement d’un cheval de Troie Faille technique Exploitation d’une vulnérabilité du logiciel Acrobat Reader (non mis à jour) Depuis ce type d’attaque se multiplie (Elysée, Sony, RSA, Interpole, OTAN…) Les menaces persistantes avancées – cas concret
  17. 17. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 17 Les codes malveillants Définition Se dit d’un programme ayant pour but de s’installer dans l’ordinateur à l’insu de son utilisateur. Une fois installé, le programme peut tout faire : • Exfiltrer des documents, • Chiffrer tout ou partie du disque dur (ransonware) • Se propager (ordinateurs alentours, smartphones, box…) • Allumer la webcam, le micro pour espionner l’utilisateur, • Enregistrer les mots de passe (notamment bancaires) • Participer à des actions de déni de services • Etc. Accessibilité Sur le marché noir un rootkit ne coute que quelques centaines d’euros Les plus gros botnets se mesurent en millions de PC
  18. 18. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 18 Du wifi à tous les étages !! Une immense majorité de personnes est prête à se connecter à n’importe quel réseau wifi … du moment ou il est gratuit Mais le wifi permet très simplement de voler identifiants, mots de passes, n° de carte bleu, etc. Conseils • N’utilisez jamais de réseau wifi gratuit (la gratuité n’existe pas) • Si vous vous connectez à un réseau opérateur, assurez- vous d’être en HTTPS, et regardez très attentivement l’URL de connexion
  19. 19. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 19 La corbeille à papier… Si la cible est géographiquement proche, il est souvent plus simple qu’il n’y parait de récupérer les informations au format papier. Quelques méthodes • Faire les poubelles (sur le domaine publique) • Soudoyer la femme de ménage (voir la société en charge du nettoyage) • Récupérer les disques durs des imprimantes Anecdote Une collectivité publie un important appel d’offre. Une société locale - s’y prenant trop tard - comprend qu’elle n’aura pas le temps de répondre. Avant la date de clôture, le PDG de la société s’est présenté à la Préfecture avec les grilles d’évaluation des réponses. L’appel d’offre a été annulé, lui laissant le temps de rédiger sa réponse… Conseils • 1 imprimante = 1 broyeur • Politique de bureau propre • Généraliser l’impression sécurisée (en plus c’est écologique !!)
  20. 20. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 20 L’approche physique Généralités Dans l’hypothèse (improbable) ou la sécurité périmétrique de la cible est robuste, l’approche physique est toujours possible. Par exemple : • Rencontrer un interlocuteur dans l’entreprise, lui faire une présentation, puis lui tendre une clé USB pour qu’il récupère le PowerPoint, • Offrir un smartphone à son interlocuteur (mais oui c’est rentable !!), • Proposer une application pour smartphone, • Installer un keylogger sur la machine (voir diapositive suivante) Attention à l’effet domino Le piratage du smartphone permettra celui du poste de travail, donc celui des documents sur le réseau, de tout ou partie de la messagerie, etc.
  21. 21. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 21 L’approche physique – cas concret Le keylogger (ou enregistreur de frappe) Equipement ou logiciel permettant d’enregistrer les touches frappées sur le clavier d’un ordinateur. Le keylogger se charge d’envoyer les informations collectées à son commanditaire (via mail, IM, ftp, etc. Si la version logicielle peut être détectée par un logiciel, la version matériel est quasi impossible à trouver (sauf en contrôle visuel) Les versions les plus sophistiquées (wifi) coutent … 40€ (lol) Une version pour l’écran est disponible. Elle fait une capture d’écran toutes les x secondes et les envoie au commanditaire (ou les garde en mémoire)
  22. 22. Protéger son identité numérique
  23. 23. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 23 L’authentification… c’est quoi ? Pour m’authentifier j’ai besoin : • D’un identifiant : matricule, adresse mail, « prénom.nom », etc. • D’un mot de passe: je dois le personnaliser et le changer régulièrement Un compte utilisateur est personnel. Je ne dois – sous aucun prétexte – le prêter - à un tiers (que ce soit un collègue, mon supérieur hiérarchique, le helpdesk, etc.). L’utilisation de mon compte utilisateur engage entièrement ma responsabilité (notamment juridique). Finalement, votre identité numérique repose grandement sur votre mot de passe… Au fait, est il robuste ?
  24. 24. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 24 La robustesse d’un mot de passe Temps nécessaire pour casser un mot de passe à partir d’1 seul ordinateur Longueur Lettres minuscules + Majuscules + Chiffres + Caractères spéciaux 6 caractères 3 sec 15 sec 10 min 2 h 7 caractères 1 min 5 min 10 h 8 j 8 caractères 35 min 2 h 5 j 3 mois 9 caractères 4 h 12 h 1 mois 10 ans Calcul ne prenant en compte aucune optimisation (ex. utilisation d’un dictionnaire)… La puissance d’un ordinateur double tous les 18 mois… Dans 3 ans les temps nécessaires seront divisés par 4 !
  25. 25. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 25 Comment choisir son mot de passe Astuce 1 - Prendre la 1ère lettre d’une phrase Ex. L’ISSA à Juan les Pins c’est la classe ! Donne : « L’IàJlPclc! » Astuce 2 – Faire une combinaison « géométrique » sur le clavier Astuce 3 – Changer les lettre d’un mot Ex. Isabelle Donne : « Is@b€lle» ou « 1s@belle », etc…
  26. 26. Que faire en cas de piratage ?
  27. 27. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 27 Que faire en cas de piratage • Vous constatez une intrusion ou une tentative d’intrusion dans votre système d’information ? • Des données ont été modifiées, introduites ou supprimées ? • Quelqu’un tente d’entraver le bon fonctionnement de votre système d’information ? Préservez les preuves • Dans la mesure du possible n’éteignez pas la machine impactée. • Parfois il est même préférable de laisser la connexion réseau (pour mieux tracer l’origine de l’intrusion Déposez plainte Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) Dépend de la Direction centrale de la Police judiciaire. Tél. : 01 47 44 97 55
  28. 28. 28 Avez-vous des questions ? Hervé MICHELLAND hmichelland@hotmail.com 06.77.99.44.90

×