Les techniques des pirates
etet
Christophe Kiciak
christophe.kiciak@provadys.com
Colloque – 7 Octobre 2015
La sécurité des...
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joke...
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joke...
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joke...
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joke...
42,8 millions de cyber-attaques ont été recensées dans le monde en 2014
Des chiffres
alarmants
42,8 millions de cyber atta...
Nos tests d’intrusion démentent souvent les
Discours
Nous utilisons de nombreux
équipements de sécurité !
PARADOXE
équipem...
Le piratage, ça n’arrive qu’aux autres ! »
PREMIERES REACTIONS
Pourquoi cette différence entre apparences et réalité?
Nonc...
Equipements
de sécurité
Leur simple présence ne suffit pas !
Sont-ils positionnés judicieusement ?
Sont-ils paramétrés rel...
Les techniques
des pirates
et comment s’en
protéger
2 TOP 10
Failles de sécurité
techniques
l est parfois plus simple de pirater le matériel
que le logiciel!
S’intercale entre le clavier et
l’unité centrale
Enregis...
Attaquer le matériel est souvent très efficace…
Pourquoi s’embêter
à contourner des protections complexes,
si on peut atta...
Les erreurs courantes
Accès au matériel informatique
Nota beneFAIBLESSES DU MATERIEL
A RETENIR
Accès au matériel informati...
Exemple : le chiffrement des données
es données informatiques sont précieuses : métaphore du bijoux
CRYPTOGRAPHIE MAL UTIL...
Les erreurs courantes
CRYPTOGRAPHIE MAL UTILISEE
Sentiment de sécurité lié au
jargon ou aux discours
commerciaux
A RETENIR...
Les applications que vous utilisez quotidiennement
se présentent sous diverses formes
Application Web / Client léger
• Tec...
Posons la question différemment…
Vous partez en vacances.
Afin de nourrir vos animaux de compagnie durant votre
absence :
...
Architecture n
Clients web
Web services
Le tiers web
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’...
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Architecture 2-tiers «
Malheureusemen...
Si le client lourd a utilisé un secret, il est probablement dans sa
Il est très facile de lire la mémoire d’un processus l...
Ici, connexion directe à une base de donnée (Oracle
MAUVAISE ARCHITECTURE APPLICATIVE
Avec ces éléments secrets, voler les...
Les erreurs courantes
Confiance dans les technologies
et logiciels moins connus /
documentés
MAUVAISE ARCHITECTURE APPLICA...
MAUVAISE GESTION DES PRIVILÈGES
Supposons que le Président de la République…
…se promène en scooter avec le bouton nucléai...
Les erreurs courantes
Utilisation de comptes privilégiés
(Administrateur, root, etc.)
MAUVAISE GESTION DES PRIVILÈGES
A RE...
Les plus souvent, les équipements et systèmes ne
sont pas finement configurés
Exemple d’un équipement en vogue : le Web Ap...
D’autres cas malheureusement communs ne sont
pas protégés par les WAF
Cas réels :
MAUVAISES CONFIGURATIONS
1
Etourderies, ...
Parfois, la situation est même pire : pas de
sécurité en plus, mais… de la sécurité en moins !
Ex: Lotus Domino (messageri...
Les erreurs courantes
Configuration par défaut (ex :
mot de passe du fabricant
inchangé)
MAUVAISES CONFIGURATIONS
A RETENI...
Pas de sécurité sans un solide système d’authentification… et
pourtant, tellement de failles !
Sans même parler de failles...
• Bases de données
(par défaut)
• HTTP
• LM / NTLM
Attaque WPAD
Historique
Chiffrement
inexistant/défaillant
AUTHENTIFICAT...
Les erreurs courantes
Absence d’authentification
AUTHENTIFICATION DEFAILLANTE
A RETENIR
Mot de passes faibles (voire
trivi...
Failles applicatives ?
Glissement des attaques systèmes
vers des attaques applicatives
Les réseaux sont de plus en plus
AP...
Failles web : quelles conséquences ?
Le vol des données :
- Données des utilisateurs (mots de passe, coordonnées, etc
- Do...
Introduction
Les techniques
des pirates
et comment s’en
protéger
1 INTRODUCTION
Introduction
1. Découverte
Recherche de tous les
éléments accessibles
2. Corrélation
Des bases
contenant toutes
publiquement
disponible...
Tous les composants doivent être régulièrement
mis à jour : une réelle organisation stricte est nécessaire
Equipements / R...
Les erreurs courantes
Pas d’application des mises à jour
MANQUES DE MISE A JOUR
A RETENIR
Utilisation de systèmes obsolète...
Un réseau interne d’entreprise présente une surface
d’attaque énorme
Grande surface d’attaque ?
Infrastructure Windows AD
...
RESEAUX INTERNES FACILES A PIRATER
l existe tellement de possibilités de piratage, que
out contrer est très difficile, sur...
Les erreurs courantes
Faible niveau de protection dans
le réseau interne
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
le r...
Les connexions WiFi au réseau interne peuvent aider
es pirates
Connexion
Du matériel spécialisé permet
une connexion à moy...
Le cas particulier : le WiFi
Les erreurs courantes
WEP (quelle que soit la clé)
WPA avec une clé trop faible
RESEAUX INTER...
Introduction
Les techniques
des pirates
et comment s’en
protéger
3 JOKER
Introduction
Méthodes classiques
INGENIERIE SOCIALE
Lorsque les attaques purement techniques échouent, ou
orsque les pirates ne craigne...
Exemple #1 : Ingénierie sociale par
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du g...
La méfiance à l’égard des mails n’est finalement pas si
Résultat : succès global quasi systématique
Téléchargement
du faux...
Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
INGENIERIE SOCIALE
Le niveau de sensi...
Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande
Voler des données (très) confidentielle...
La voix humaine est un atout pour mettre la victime en confiance
Exemple #2 : Ingénierie sociale par téléphone
But de l’ex...
Des réactions parfois surprenantes
• « Ne vous en faites pas, je dirige ce département et
j’avertis qu’une migration est e...
Les erreurs courantes
Manque d’information des
INGENIERIE SOCIALE
A RETENIR
Manque d’information des
utilisateurs
Ignoranc...
Les techniques
des pirates
et comment s’en
protéger
4 Recommandations &
Conclusions
ue faire ?
Développement : attention, si de
mauvais choix structurels affectent les
applications utilisées, leur sécurisat...
ue faire ?
Maîtriser la sécurité d’un équipement
ou de logiciels que vous vous procurez
n’est pas forcément chose aisée
N’...
ue faire ?
mmandations
Guides officiels :
Guides publiés :
Guide d’élaboration et de mise en œuvre d’une PSSI pour les str...
onclusions
Un retour d’expérience pessimiste ?
Nos audits démontrent souvent qu’il est possible de dérober des données con...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama
Prochain SlideShare
Chargement dans…5
×

2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama

2 836 vues

Publié le

Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" Olivier PANTALEO, Président et Christophe KICIAK, Directeur associé Offensive security, Provadys - Diaporama

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 836
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 687
Actions
Partages
0
Téléchargements
109
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama

  1. 1. Les techniques des pirates etet Christophe Kiciak christophe.kiciak@provadys.com Colloque – 7 Octobre 2015 La sécurité des systèmes d’information dans les établissements sanitaires et médico Ministère des Affaires Sociales, de la Santé et des Droits des femmes Les techniques des pirates et comment s’en protégeret comment s’en protéger Christophe Kiciak christophe.kiciak@provadys.com La sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux Ministère des Affaires Sociales, de la Santé et des Droits des femmes
  2. 2. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  3. 3. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  4. 4. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  5. 5. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  6. 6. 42,8 millions de cyber-attaques ont été recensées dans le monde en 2014 Des chiffres alarmants 42,8 millions de cyber attaques, Une augmentation de 48 Le coût annuel moyen attribué LES FAITS Des conséquences fortes Des conséquences fortes Des cibles diverses et nouvelles Le coût annuel moyen attribué millions de dollars en 2014 Soit une croissance de 34 Une forte augmentation (+41% en 2014) attaques ont été recensées dans le monde en 2014 attaques, soit 117 339 attaques par jour 48% par rapport à l’année précédente attribué aux incidents de sécurité atteint 2,7attribué aux incidents de sécurité atteint 2,7 2014 34% par rapport à 2013 des incidents de cyber-sécurité en Europe Source: PwC 2014
  7. 7. Nos tests d’intrusion démentent souvent les Discours Nous utilisons de nombreux équipements de sécurité ! PARADOXE équipements de sécurité ! Nos logiciels sont régulièrement mis à jour ! Nous avons des anti-virus ! Nos salariés sont sensibilisés aux risques informatiques ! On n’a jamais été piraté, pourquoi changer quoi que ce soit ? Nos tests d’intrusion démentent souvent les discours Faits constatés lors de nos audits Les tests d’intrusion sans restriction quant au mode opératoire parviennent à exfiltrer des données sensibles 9 fois sur 10 Les méthodes d’attaques mises en œuvre sont souvent basées sur les mêmes principes… depuis 15 ans !
  8. 8. Le piratage, ça n’arrive qu’aux autres ! » PREMIERES REACTIONS Pourquoi cette différence entre apparences et réalité? Nonchalance, laxisme, incrédulité De manière générale, les entreprises les plus confiantes à l’égard du vol de données … Le piratage, ça n’arrive qu’aux autres ! » « de sécurité, nous ne risquons pas grand Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! Confiance en l’efficacité des mesures Cet état d’esprit joue en faveur des pirates ! Pourquoi cette différence entre apparences et réalité? De manière générale, les entreprises les plus confiantes à l’égard du vol de données … … sont les plus vulnérables! Nous utilisons les meilleurs équipements de sécurité, nous ne risquons pas grand-chose ! » Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! » Confiance aveugle en la technique Cet état d’esprit joue en faveur des pirates !
  9. 9. Equipements de sécurité Leur simple présence ne suffit pas ! Sont-ils positionnés judicieusement ? Sont-ils paramétrés relativement à votre environnement ? Ont-ils des limitations intrinsèques ? Comme chacun sait, l’humain reste souvent le maillon faible LES ERREURS Pourtant ces raisonnements semblent rationnels. Pourquoi sont Sensibilisation Nos serveurs n’ont pas été piratés Comme chacun sait, l’humain reste souvent le maillon faible Les campagnes de sensibilisation ont Quelle population a été ciblée ? Qu’en est C’est possible. Mais est La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates Leur simple présence ne suffit pas ! ils positionnés judicieusement ? ils paramétrés relativement à votre environnement ? ils des limitations intrinsèques ? Comme chacun sait, l’humain reste souvent le maillon faible Pourtant ces raisonnements semblent rationnels. Pourquoi sont-ils erronés ? Comme chacun sait, l’humain reste souvent le maillon faible d’un SI. Les campagnes de sensibilisation ont-elles été efficaces ? Quelle population a été ciblée ? Qu’en est-il des nouveaux collaborateurs ? C’est possible. Mais est-ce un indicateur si fiable que cela ? La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
  10. 10. Les techniques des pirates et comment s’en protéger 2 TOP 10 Failles de sécurité techniques
  11. 11. l est parfois plus simple de pirater le matériel que le logiciel! S’intercale entre le clavier et l’unité centrale Enregistre toutes les frappes clavier (mots de passe notamment) Existe en version WiFi, pour Si un équipement de ce type définition piratable Ce type de accès direct l’équipement FAIBLESSES DU MATERIEL Keylogger physique Firewire Existe en version WiFi, pour exfiltrer les données aisément A la portée de n’importe qui ! (coût : quelques dizaines d’euros) l’équipement mots de passe Matériel peu câble), attaque complexe spécialisés expérimentaux) #10l est parfois plus simple de pirater le matériel équipement est pourvu de port, il est par piratable ! de port permet un direct à la mémoire de l’équipement => accès aux Tous les systèmes autorisent la connexion en USB de certains équipements, sans aucune demande de confirmation (clavier, souris, carte réseau, etc.) Il est par exemple possible de Firewire BadUSB l’équipement => accès aux passe peu coûteux (un attaque relativement (logiciels expérimentaux) Il est par exemple possible de créer une souris, qui en fait se fera passer pour un clavier auprès du système. Des commandes malveillantes seront alors exécutées sur la machine, pour la pirater.
  12. 12. Attaquer le matériel est souvent très efficace… Pourquoi s’embêter à contourner des protections complexes, si on peut attaquer ce qui n’est pas protégé du tout Problème de confiance au matériel FAIBLESSES DU MATERIEL ? Les logiciels n’ont souvent pas d’autre choix que de faire confiance au matériel Seuls certains protocoles précis utilisent des mécaniques spécifiques pour empêcher ce type d’attaques Néanmoins, de nombreux protocoles historiques (USB…) en sont exempts Attaquer le matériel est souvent très efficace… Indétectable & imparable ! #10 Les exemples énoncés ici sont les plus connus. D’autres attaques basées sur le même principe existent. Elles ne sont pas détectables sans matériel particulier, et ne peuvent pas facilement être bloquées (à moins de mettre en œuvre un paramétrage très contraignant) Par conséquent, la paranoïa est de mise : n’acceptez aucun cadeau informatique! (clefs USB, souris, haut-parleur externe, etc.)
  13. 13. Les erreurs courantes Accès au matériel informatique Nota beneFAIBLESSES DU MATERIEL A RETENIR Accès au matériel informatique par des inconnus / externes Branchement de matériel personnel Matériel d’origine externe (clé USB, chargeur, téléphone, etc.) Les bons réflexes Contrôle d’accès systématique : clé, badge, biométrique, … Si ce n’est pas possible, le #10 Si ce n’est pas possible, le matériel doit être au minimum verrouillé (authentification nécessaire avant utilisation) Sensibilisation des utilisateurs Ecriture et respect d’une charte informatique
  14. 14. Exemple : le chiffrement des données es données informatiques sont précieuses : métaphore du bijoux CRYPTOGRAPHIE MAL UTILISEE Les bijoux précieux sont souvent stockés dans des coffres forts Ces coffres rendent le vol beaucoup plus difficile Malheureusement, un serveur informatique le coffre doit donc rester Exemple : le chiffrement des données précieuses : métaphore du bijoux #9 Problème : le coffre-fort n’offre plus aucune sécurité dès lors queplus aucune sécurité dès lors que l’on souhaite porter ses bijoux ! serveur informatique se sert en permanence des données : rester ouvert !
  15. 15. Les erreurs courantes CRYPTOGRAPHIE MAL UTILISEE Sentiment de sécurité lié au jargon ou aux discours commerciaux A RETENIR Pas de chiffrement d’un périphérique nomade Chiffrement appliqué au mauvais endroit, ou partiellement Chiffrement totalement transparent pour l’utilisateur Les bons réflexes #9 Mise en doute systématique de la sécurité : demande des certifications, audits, etc. Chiffrement total des supports susceptibles d’être perdus / volés / accédés Chiffrement nécessitant une authentification (passphrase, ou mieux, TPM)
  16. 16. Les applications que vous utilisez quotidiennement se présentent sous diverses formes Application Web / Client léger • Technologie très classique • Technologie très connue MAUVAISE ARCHITECTURE APPLICATIVE • Technologie très connue • Interopérabilité maximale (navigateurs standards) • Ergonomie parfois peu adaptée aux impératifs métiers (point en amélioration) • Vulnérable à des attaques classiques (e.g. Top 10 OWASP) Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ? Les applications que vous utilisez quotidiennement Client lourd • Technologie souvent propriétaire #8 • Logiciels / Progiciels souvent peu connus de la communauté des hackers • Ergonomie au plus près des impératifs métiers • Attaques moins populaires / moins documentées Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ?
  17. 17. Posons la question différemment… Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre absence : MAUVAISE ARCHITECTURE APPLICATIVE Ex. A. B. C. Vous laissez un double des clefs à vos parents Vous laissez un double des clefs au voisin Vous laissez vos clefs sous le paillasson : quelqu’un finira bien par les nourrir De nombreuses établissements et entreprises répondent « C »! Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre #8 Vous laissez un double des clefs à vos parents Vous laissez un double des clefs au voisin Vous laissez vos clefs sous le paillasson : quelqu’un finira Il est naturel de rendre vos clefs les plus inaccessibles possibles aux éventuels voleurs. Il en va de même en informatique !
  18. 18. Architecture n Clients web Web services Le tiers web MAUVAISE ARCHITECTURE APPLICATIVE Ne jamais oublier : l’important, c’est la donnée ! Ce type d’architecture a de nombreux avantages, dont celui de positionner les données plus loin du pirate Web services Clients lourds Côté client Architecture n-tiers typique Le tiers ressource (EIS) Le tiers ressource #8Ne jamais oublier : l’important, c’est la donnée ! Ce type d’architecture a de nombreux avantages, dont celui de positionner les plus loin du pirate Le tiers du milieu (EIS) Côté serveur Web services Le tiers du milieu ressource (Les données)
  19. 19. MAUVAISE ARCHITECTURE APPLICATIVE Ne jamais oublier : l’important, c’est la donnée ! Architecture 2-tiers « Malheureusement, de nombreuses applications métier pas cette considération en compte Client lourd Côté client Le tiers ressourceLe tiers #8Ne jamais oublier : l’important, c’est la donnée ! tiers « client-serveur » applications métier ne prennent pas cette considération en compte ! (EIS) Côté serveur Le tiers ressource (Les données)
  20. 20. Si le client lourd a utilisé un secret, il est probablement dans sa Il est très facile de lire la mémoire d’un processus lancé sur sa propre machine MAUVAISE ARCHITECTURE APPLICATIVE Dans les architectures client-serveur, la sécurité est souvent Si le client lourd a utilisé un secret, il est probablement dans sa mémoire est très facile de lire la mémoire d’un processus lancé sur sa propre machine Exemples typiques d’éléments récoltés de cette manière : Exemples typiques d’éléments récoltés de cette manière : #8serveur, la sécurité est souvent… …du mauvais côté ! de cette manière : • Mot de passe « maître » de la base de données • Identifiants / Mots de passe d’autres utilisateurs • Comptes de service • Clefs de chiffrement • Autres éléments « secrets » divers de cette manière : • Mot de passe « maître » de la base de données • Identifiants / Mots de passe d’autres utilisateurs • Comptes de service • Clefs de chiffrement • Autres éléments « secrets » divers
  21. 21. Ici, connexion directe à une base de donnée (Oracle MAUVAISE ARCHITECTURE APPLICATIVE Avec ces éléments secrets, voler les données devient très simple Ici, connexion directe à une base de donnée (Oracle) au moyen d’un compte volé en mémoire : Il est également parfois possible de modifier le logiciel lui-même : #8Avec ces éléments secrets, voler les données • Modification du comportement du logiciel (débridage de l’interface, accès aux menus administrateur, etc.) • Contournement de l’authentification • Ajout d’un cheval de Troie dans le logiciel • Etc.
  22. 22. Les erreurs courantes Confiance dans les technologies et logiciels moins connus / documentés MAUVAISE ARCHITECTURE APPLICATIVE A RETENIR documentés Confiance dans le discours marketing de l’éditeur logiciel Développement de logiciels « maison » traitant des données sensibles Les bons réflexes Suivi des bonnes pratique de développement #8 Audit par un organisme indépendant Implication d’un expert sécurité dans le développement
  23. 23. MAUVAISE GESTION DES PRIVILÈGES Supposons que le Président de la République… …se promène en scooter avec le bouton nucléaire sous le bras. iliser un compte administrateur, est aider le pirate s’il parvient à ous faire exécuter un malware Faire tourner un service réseau en « root », c’est donner les clefs de l’Entreprise à la première faille publique l’affectant Profil Utilisateur Services informatiques Bien évidemment, une telle situation créerait un tollé général. Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs! #7 …se promène en scooter avec le bouton nucléaire sous le bras. « With great power com great responsibilit (Uncle B tourner un service réseau en », donner les clefs de l’Entreprise à la première faille publique l’affectant Utiliser un compte DBA pour une application web, c’est fournir une belle porte d’entrée aux pirates vers le réseau interne informatiques Bases de données Bien évidemment, une telle situation créerait un tollé général. Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
  24. 24. Les erreurs courantes Utilisation de comptes privilégiés (Administrateur, root, etc.) MAUVAISE GESTION DES PRIVILÈGES A RETENIR (Administrateur, root, etc.) Partages et droits d’accès permissifs (Tout le monde peut lire/modifier) Les bons réflexes Utilisation systématique des privilèges minimums #7 privilèges minimums Accès autorisé aux données uniquement pour les personnes en ayant besoin
  25. 25. Les plus souvent, les équipements et systèmes ne sont pas finement configurés Exemple d’un équipement en vogue : le Web Application MAUVAISES CONFIGURATIONS Par défaut, les équipements ou logiciels dédiés à la Faille de l’application web Protection par défaut ? Protection par défaut ? En entrant directement l’URL des fonctions d’administration, il est possible pour un utilisateur classique d’y accéder Non le WAF n’a aucun moyen de connaître quelle page doit être réservée à quel rôle En utilisant habilement le moteur de recherche du site institutionnel, il est possible d’afficher des données le WAF n’a aucun moyen de distinguer l’information confidentielle du reste Les plus souvent, les équipements et systèmes ne Exemple d’un équipement en vogue : le Web Application Firewall (WAF) #6 équipements ou logiciels dédiés à la sécurité… … offrent rarement une protection optimale. En utilisant habilement le moteur de recherche du site institutionnel, il est possible d’afficher des données internes au groupe Non le WAF n’a aucun moyen de distinguer l’information confidentielle du reste En changeant la valeur d’un paramètre dans l’URL (ex: « ID=1234 »), il est possible de lire les données des autres utilisateurs Non le WAF n’a aucun moyen de savoir que telle donnée est réservée à tel utilisateur
  26. 26. D’autres cas malheureusement communs ne sont pas protégés par les WAF Cas réels : MAUVAISES CONFIGURATIONS 1 Etourderies, oublis, mesures temporaires, test… Utilisation du moteur de recherche sur le site institutionnel (mot clef = admin). Mot de passe retourné ! Piratage de tout le SI, des milliers de comptes personnels accessibles. Oubli d’une interface d’administration sur une machine (login = mot de passe). Accès en « live » à toute la base client (plusieurs dizaines de milliers) Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables 1 2 D’autres cas malheureusement communs ne sont Identification d’une machine de développeur accessible depuis Internet : tous les codes sources de toutes les applications du groupe en libre #6 3 test… … Autant d’invitations au vol des données ! de toutes les applications du groupe en libre service ! Dans ce code source, présence de mots de passe permettant la prise de contrôle de tout le SI du groupe. Site vitrine Français bien sécurisé, mais… l’équivalent pour l’Asie truffé de failles. Prise de contrôle du serveur asiatique, qui se trouve être relié au réseau interne de tout le groupe. Accès à des milliers de comptes. Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables 4
  27. 27. Parfois, la situation est même pire : pas de sécurité en plus, mais… de la sécurité en moins ! Ex: Lotus Domino (messagerie de type webmail) MAUVAISES CONFIGURATIONS Certains logiciels sont vulnérables à des Tout utilisateur peut consulter l’annuaire Celui-ci divulgue par défaut les mots de passe (hashés) de tous les utilisateurs Accéder à de nombreuses boîtes mail est alors aisé ! Ajuster les configurations finement est fastidieux Néanmoins, c’est une étape impérative, souvent négligée Parfois, la situation est même pire : pas de la sécurité en moins ! #6 Certains logiciels sont vulnérables à des attaques très célèbres par défaut Ajuster les configurations finement est fastidieux Néanmoins, c’est une étape impérative, souvent négligée
  28. 28. Les erreurs courantes Configuration par défaut (ex : mot de passe du fabricant inchangé) MAUVAISES CONFIGURATIONS A RETENIR inchangé) Méconnaissance des fonctionnalités disponibles / activées Les bons réflexes Revue et durcissement systématique de la configuration #6 systématique de la configuration Demande d’information au fournisseur et/ou à l’installateur Désactivation des fonctionnalités non utilisées Utilisation de référentiels / guides de sécurité
  29. 29. Pas de sécurité sans un solide système d’authentification… et pourtant, tellement de failles ! Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions AUTHENTIFICATION DEFAILLANTE Constat Résultat Les utilisateurs détestent les mots de passe Ils utilisent des mots de passe simples Ils les stockent n’importe comment Les informaticiens ne les aiment pas non plus ! Nos tests montrent que de nombreux services utilisent les mots de passe (Welogic Pas de sécurité sans un solide système d’authentification… et Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions #5 Les informaticiens ne les aiment pas non plus ! Nos tests montrent que de nombreux services utilisent les mots de passe par défaut ! Welogic, Oracle, Tomcat, etc.) Et même avec un mot de passe solide… … Il faut s’en servir pour accéder aux données. Se servir d’un mot de passe, c’est l’exposer momentanément.
  30. 30. • Bases de données (par défaut) • HTTP • LM / NTLM Attaque WPAD Historique Chiffrement inexistant/défaillant AUTHENTIFICATION DEFAILLANTE De plus, certains protocoles n’utilisent pas d’authentification du tout, ou encore une authentification non sûre • HTTP • Telnet (1969 !) • FTP • NIS / NFS • Attaque WPAD • Attaque SAMBA • Pass-the-Hash Tous ces sigles vous sont peut En effet, malgré leur sécurité parfois nulle monde entier ! NTLM / NTLM v2 WPAD • DNS DHCP Historique Pré-Historique #5De plus, certains protocoles n’utilisent pas d’authentification encore une authentification non sûre WPAD SAMBA Hash • DHCP • ARP • BGP Tous ces sigles vous sont peut-être familiers… parfois nulle, ils restent très employés, parfois par le monde entier !
  31. 31. Les erreurs courantes Absence d’authentification AUTHENTIFICATION DEFAILLANTE A RETENIR Mot de passes faibles (voire triviaux) Mots de passe par défaut Stockage des mots de passe dans un fichier en clair et/ou mal protégé Les bons réflexes Authentification systématique Authentification forte (carte à puce, biométrie) si possible #5 Utilisation de phrases (avec chiffres et symboles) ou d’un outil spécialisé Changement systématique des mots de passe puce, biométrie) si possible Utilisation d’un outil spécialisé de gestion des mots de passe
  32. 32. Failles applicatives ? Glissement des attaques systèmes vers des attaques applicatives Les réseaux sont de plus en plus APPLICATION WEB MAL SECURISEES Sécuriser une application web : un vrai défi ! « 75% des attaques sur le web exploitent les vulnérabilités des applications Les réseaux sont de plus en plus sécurisés Les applications elles-mêmes sont généralement plus simples à pirater • Equipements de protection pas si répandus • Les développeurs sont peu formés à la sécurité • Les méthodes de hacking applicatif circulent sur Internet OWASP Testing Guide L’OWASP est l’organisme de référence pour la sécurité des sites web #4Sécuriser une application web : un vrai défi ! 75% des attaques sur le web exploitent les vulnérabilités des applications » (Gartner). pour la sécurité des sites web Son guide de test de sécurité propose une centaine de types de test (avec de très nombreuses sous-catégories) De nombreux tests ne sont pas automatisables (contexte métier par exemple)
  33. 33. Failles web : quelles conséquences ? Le vol des données : - Données des utilisateurs (mots de passe, coordonnées, etc - Données métier (en lien avec la nature du site) - Dans le cas d’applications mutualisées entre plusieurs APPLICATION WEB MAL SECURISEES ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont as significatives… En fait, elles permettent par - Dans le cas d’applications mutualisées entre plusieurs (SaaS par exemple), vol de données très diverses en une seule fois L’exécution d’actions métier (virement, création/suppression de comptes, passage d’ordre, etc.) La modification du contenu (« Defacement » par exemple) L’utilisation de votre site pour attaquer ses autres utilisateurs L’utilisation de vos systèmes pour perpétrer d’autres actions illégales Utilisation du site web comme porte d’entrée vers le réseau interne, en vue d’un piratage complet de l’entreprise Failles web : quelles conséquences ? des utilisateurs (mots de passe, coordonnées, etc.) le cas d’applications mutualisées entre plusieurs entreprises #4 Les conséquences des ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont as significatives… En fait, elles permettent par exemple : le cas d’applications mutualisées entre plusieurs entreprises ), vol de données très diverses en une seule fois (virement, création/suppression de comptes, par exemple) ses autres utilisateurs actions illégales réseau interne, Les conséquences des piratages de site web peuvent être tout aussi désastreuses pour l’entreprise que les autres formes de piratage
  34. 34. Introduction Les techniques des pirates et comment s’en protéger 1 INTRODUCTION Introduction
  35. 35. 1. Découverte Recherche de tous les éléments accessibles 2. Corrélation Des bases contenant toutes publiquement disponibles gratuitement MANQUES DE MISE A JOUR Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct ’outillage est en effet complètement automatisé Identification des différents types et versions (techniques de « fingerprinting ») gratuitement En entrant type et la composant, immédiatement de sécurité Corrélation de données toutes les failles publiquement connues sont sur Internet, 3. Exploitation Des codes d’attaques existent aussi sur Internet (dans certains cas, ils peuvent être payants : un marché très important #3Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct : est en effet complètement automatisé simplement le version d’un on connaît immédiatement son niveau marché très important existe) Le piratage est alors très simple : l’utilisation d’un outil automatique ne nécessite que peu de compétences
  36. 36. Tous les composants doivent être régulièrement mis à jour : une réelle organisation stricte est nécessaire Equipements / Réseau o Switchs o Routeurs o WAF o Load Balancers o Etc. Windows (Serveurs & Postes utilisateurs) MANQUES DE MISE A JOUR Systèmes / Services Applicatifs o Windows (Serveurs & Postes utilisateurs) o Linux o IIS / Apache / o iOS / Android o Bases de données o Etc. o OpenSSL o CMS : WordPress, o Navigateurs Internet o Suite Microsoft Office o Antivirus o Etc. les composants doivent être régulièrement réelle organisation stricte est nécessaire Switchs Routeurs Balancers Windows (Serveurs & Postes utilisateurs) #3 Windows (Serveurs & Postes utilisateurs) IIS / Apache / Tomcat / Weblogic / … iOS / Android Bases de données OpenSSL CMS : WordPress, Jahia, Drupal, … Navigateurs Internet Suite Microsoft Office Antivirus
  37. 37. Les erreurs courantes Pas d’application des mises à jour MANQUES DE MISE A JOUR A RETENIR Utilisation de systèmes obsolètes ne recevant plus de mises à jour : Windows 95, 98, XP, NT , 2000, 2003 Mises à jours limitées aux serveurs et / ou postes de travail Les bons réflexes Mises à jour systématiques et obligatoires, voire automatiques #3 Migration des systèmes Circonscription de ceux ne pouvant l’être Identification et suivi de l’ensemble des équipements devant être mis à jour
  38. 38. Un réseau interne d’entreprise présente une surface d’attaque énorme Grande surface d’attaque ? Infrastructure Windows AD Authentification LM / NTLM / NTLMv2 Postes utilisateurs Windows WPAD / RESEAUX INTERNES FACILES A PIRATER Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas Postes utilisateurs Windows WPAD / SAMBA Partages de fichiers, souvent très ouverts Services par dizaines / centaines / milliers Dizaines, centaines, voire milliers de comptes utilisateurs, et autant de mots de passe Etc. Un réseau interne d’entreprise présente une surface Et alors ? Contrairement aux tests depuis Internet, il n’y a en général pas (ou peu) de sécurité #2 Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas n’y a en général pas (ou peu) de sécurité réseau De fait, la plupart des éléments sont accessibles Cette surface d’attaque énorme offre une telle diversité, qu’en général, toutes les attaques évoquées jusqu’ici sont potentiellement efficaces !
  39. 39. RESEAUX INTERNES FACILES A PIRATER l existe tellement de possibilités de piratage, que out contrer est très difficile, surtout dans la durée Sécuriser un réseau interne est une tâche colossale De plus, le travail doit se faire constamment, impossible de le faire Tant de possibilités! #2l existe tellement de possibilités de piratage, que out contrer est très difficile, surtout dans la durée constamment, impossible de le faire « une fois pour toute » Mettre en place une surveillance est très important : si on ne peut tout bloquer, on peut souvent détecter ! Bien évidemment, cela montre que la sécurité périmétrique est très importante : le pirate ne doit pas pouvoir entrer sur le réseau interne
  40. 40. Les erreurs courantes Faible niveau de protection dans le réseau interne RESEAUX INTERNES FACILES A PIRATER A RETENIR le réseau interne Absence de surveillance du réseau interne Les bons réflexes Suivi des bonnes pratiques (mises à jour, authentification, permissions, etc.) #2 permissions, etc.) Mises en place de mécanismes de détection (équipement, équipe, etc.)
  41. 41. Les connexions WiFi au réseau interne peuvent aider es pirates Connexion Du matériel spécialisé permet une connexion à moyenne Attaques classiques De nombreux réseaux RESEAUX INTERNES FACILES A PIRATER une connexion à moyenne distance Un piratage est donc possible depuis l’extérieur de l’établissement visé De nombreux réseaux vulnérables à classiques et connues o WEP, o WPA mal configuré, o WPS, o portail captif au réseau interne peuvent aider Attaques classiques réseaux Wifi sont Aide des utilisateurs à leur insu ! Certains équipements créent ou se connectent automatiquement #2 réseaux Wifi sont des attaques connues : configuré, captif vulnérable se connectent automatiquement des réseaux Wifi Les utilisateurs se connecten parfois au réseau WiFi et au réseau filaire simultanément créant un pont Cas du BOYD
  42. 42. Le cas particulier : le WiFi Les erreurs courantes WEP (quelle que soit la clé) WPA avec une clé trop faible RESEAUX INTERNES FACILES A PIRATER A RETENIR Pont réseau vers le réseau interne Equipements non maîtrisés (créent ou se connectent aux réseaux WiFi) Les bons réflexes WPA2 avec une clé complexe renouvelée régulièrement ou une authentification par certificat #2 Isolation du réseau interne des machines connectées au WiFi Revue systématique de la configuration Désactivation des réseaux non utilisés
  43. 43. Introduction Les techniques des pirates et comment s’en protéger 3 JOKER Introduction
  44. 44. Méthodes classiques INGENIERIE SOCIALE Lorsque les attaques purement techniques échouent, ou orsque les pirates ne craignent pas la détection, ils attaquent le maillon humain Pièges par e-mail Appels téléphoniques Don de matériel piégé Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne Leviers de manipulation mentale “Le cerveau humain est comme un OS sans firewall” #1Lorsque les attaques purement techniques échouent, ou orsque les pirates ne craignent pas la détection, ils sans firewall” Cupidité (offres promotionnelles, appât du gain) Idéologie (combats politiques, religieux, etc.) Menaces / Intimidation / Pression Ego (mise au défi) Etc. Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne
  45. 45. Exemple #1 : Ingénierie sociale par Envoi de chevaux de Troie Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet Méthodologie en 3 INGENIERIE SOCIALE Connexion à la boîte e Analyse des informations techniques dérobées (« cracking du hash du mot de passe Prise de contrôle du poste de la victime Méthodologie en 3 phases employée habituellement lors de nos tests d’intrusion via social engineering Exemple #1 : Ingénierie sociale par e-mail Envoi de chevaux de Troie Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet #1 Connexion à la boîte e-mail cible Analyse des informations techniques dérobées cracking du hash du mot de passe ») Connexion à la boîte cible via webmail Attaque interne Prise de contrôle du poste de la victime Utilisation du poste de la victime pour attaquer l’annuaire interne et extraire les hashs des mots de passe « Windows Active Directory »
  46. 46. La méfiance à l’égard des mails n’est finalement pas si Résultat : succès global quasi systématique Téléchargement du faux formulaire INGENIERIE SOCIALE Exécution du cheval de Troie du faux formulaire A ce niveau, le pirate a déjà un pied dans l’entreprise visée La méfiance à l’égard des mails n’est finalement pas si grande systématique 61,23% Téléchargement du faux formulaire #1 31,70% 0% 20% 40% 60% 80% 100% Exécution du cheval de Troie du faux formulaire A ce niveau, le pirate a déjà un pied dans l’entreprise visée
  47. 47. Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre : INGENIERIE SOCIALE Le niveau de sensibilisation moyen est faible #1 Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre : Le niveau de sensibilisation moyen est faible Autres anecdotes : Transmission de l’offre à des amis Multiples exécutions du cheval de Troie Envoi de données confidentielles non sollicitées Etc.
  48. 48. Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande Voler des données (très) confidentielles est alors aisé Quelques exemples de données récupérées : Documents techniques (mots de passe !) INGENIERIE SOCIALE Données commerciales (ventes, futurs appels d’offres) Données personnelles (mails, agendas, photos, scans de documents administratifs) Grille des salaires Documents métier, etc. Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent. Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande) des données (très) confidentielles est alors aisé Remarques : Les anti-virus sont souvent aveugles dès lors que l’attaque n’est pas une attaque #1 lors que l’attaque n’est pas une attaque connue (signature référencée) A nouveau, attention au faux sentiment de sécurité ! Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent.
  49. 49. La voix humaine est un atout pour mettre la victime en confiance Exemple #2 : Ingénierie sociale par téléphone But de l’exercice / Scénario INGENIERIE SOCIALE • But : Récupérer le mot de passe de l’utilisateur (accès webmail par exemple) • Exemples de scénarios utilisés : • Fausse migration de la messagerie • Mise en place d’une fausse nouvelle application de réseau social • Création d’une fausse base documentaire interne La voix humaine est un atout pour mettre la victime en confiance #2 : Ingénierie sociale par téléphone Résultats #1 Bien que les appels aient été effectués depuis une ligne externe, le vol d’information a été un grand succès : • 343 appels téléphoniques • 166 mots de passe récupérés (48,4%)
  50. 50. Des réactions parfois surprenantes • « Ne vous en faites pas, je dirige ce département et j’avertis qu’une migration est en cours : tout le monde vous donnera son mot de passe. » • « Mon collègue est absent, mais je connais son mot Morceaux choisis INGENIERIE SOCIALE • « Mon collègue est absent, mais je connais son mot de passe, je vous le donne également. » • « Je ne vous donne pas mon mot de passe Windows, c’est interdit ! Mais voici mon mot de passe e-mail… » • « C’est interdit de donner son mot de passe, mais je n’ai pas envie de subir une coupure mail, donc le voici ! » A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats ! et le mot Pour les rares cas où la personne refuse catégoriquement, pour éviter que l’alerte ne En cas de refus… #1 mot passe de mais le catégoriquement, pour éviter que l’alerte ne soit donnée, plusieurs méthodes sont envisageables. Par exemple, on explique que dans ce cas, le mot de passe va être réinitialisé, et on donne à la personne un (faux) nouveau mot de passe qu’elle doit « bien noter ». A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats !
  51. 51. Les erreurs courantes Manque d’information des INGENIERIE SOCIALE A RETENIR Manque d’information des utilisateurs Ignorance ou refus des risques liés au facteur humain Les bons réflexes Sensibilisations régulières #1 Sensibilisations régulières Campagnes d’informations Campagnes de test Analyse des risques encourus
  52. 52. Les techniques des pirates et comment s’en protéger 4 Recommandations & Conclusions
  53. 53. ue faire ? Développement : attention, si de mauvais choix structurels affectent les applications utilisées, leur sécurisation peut être quasi-impossible ! De plus attention aux applications web, véritables nids de failles. Equipements de sécurité : Leur mmandations Technique Equipements de sécurité : Leur simple présence n’ajoute que peu de sécurité. Un paramétrage fin et adapté au contexte est nécessaire. C’est un travail long, parfois complexe, mais indispensable. Ne pas négliger la sécurité du réseau interne : la probabilité qu’un pirate s’y retrouve connecté est très forte (notamment dans les grands groupes) Surveillance : S’il est difficile d’empêcher toute attaque de réussir, a minima, il faut pouvoir la détecter le plus vite possible pour la neutraliser Afin de réduire les risques de vols de données suite à des erreurs humaines, il est fortement conseillé de mettre en place des campagnes de sensibilisations répétées des utilisateurs. Différents type de support existent : Humain Différents type de support existent : affiches, communication par messagerie, e-learning, séance de sensibilisation.
  54. 54. ue faire ? Maîtriser la sécurité d’un équipement ou de logiciels que vous vous procurez n’est pas forcément chose aisée N’hésitez pas à inclure dans vos contrats des clauses liées à la sécurité Ces clauses peuvent par exemple mmandations Prestataires / Vendeurs Ces clauses peuvent par exemple demander au fournisseur de s’engager sur une liste de points de contrôle sécurité Faites jouer la concurrence si un prestataire donné s’y refuse ! Afin d’amener la sécurité d’un périmètre informatique à un niveau correct, certaines actions peuvent être entreprises pour un coût très modique : Création d’une charte informatique Même sans grand budget Mise en place d’une politique de mots de passe décente Fermeture à clef systématique des locaux sensibles Elaboration de fiches de réaction face à un incident (virus, intrus, piratage, email suspect, etc.) Campagnes de sensibilisation simples (affiches à la machine à café, mails réguliers, etc.)
  55. 55. ue faire ? mmandations Guides officiels : Guides publiés : Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et médico-social - Structure sans approche SSI Règles pour les dispositifs connectés d’un Système d’Information de Référentiel d’authentification des acteurs de Référentiel d’imputabilité Guide pratique spécifique pour la mise en place d’un accèsGuide pratique spécifique pour la mise en place d’un accès Guides en cours d’élaboration : Guide pour la gestion des habilitations d’accès Gestion des événements sécurité Guide en concertation : Règles pour la mise en place d’un accès web au SIS pour des Les documents publiés sont disponibles dans l’espace publication de la PGSSI http://esante.gouv.fr/pgssi-s/espace-publication Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI http://esante.gouv.fr/pgssi-s/espace-concertation Les documents en cours d’élaboration seront mis en concertation courant 2016 d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs Structure sans approche SSI formalisée Règles pour les dispositifs connectés d’un Système d’Information de Santé Référentiel d’authentification des acteurs de santé Guide pratique spécifique pour la mise en place d’un accès WifiGuide pratique spécifique pour la mise en place d’un accès Wifi pour la gestion des habilitations d’accès Règles pour la mise en place d’un accès web au SIS pour des tiers Les documents publiés sont disponibles dans l’espace publication de la PGSSI-S : publication Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI-S : concertation Les documents en cours d’élaboration seront mis en concertation courant 2016
  56. 56. onclusions Un retour d’expérience pessimiste ? Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Pour rappel : « 80 % de la cybercriminalité est liée des bandes organisées financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne ue faire ? financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne (Interpol) Ne sous-estimez pas la menace. Ne surestimez pas votre niveau de sécurité. Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise http://esante.gouv.fr/services/referentiels/securite/pgssi Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est-ce représentatif ? Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Cet argument est illusoire. des bandes organisées transfrontalières et représente un coût plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne » estimez pas la menace. Ne surestimez pas votre niveau de sécurité. Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise http://esante.gouv.fr/services/referentiels/securite/pgssi

×