Introduction à l'Ethical Hacking

1 280 vues

Publié le

Présentation du 18 Septembre 2014 :
Introduction à l'Ethical Hacking.
Introduction
Terminologies
Eléments de la sécurité
Vecteurs d'attaques
Classes des hackers
Phases du hacking
Conclusion

Introduction à l'Ethical Hacking

  1. 1. 1
  2. 2. 17 Septembre 2014 ETHICAL HACKING – THE BASICS 2
  3. 3. “If you know yourself but not the enemy, for every victory gained you will also suffer a defeat.” Sun Tzu, The Art of War 3
  4. 4. Introduction 4
  5. 5. Hacking vs. Ethical Hacking • Hacking : Exploiter les faiblesses/fragilités d’un système informatique pour accéder à des données/ressources non autorisées. • Hacker = The Enemy. 5
  6. 6. Hacking vs. Ethical Hacking • Ethical Hacking : Utilisation des outils et des techniques de Hacking afin d’identifer les faiblesses au niveau d’un système informatique. • Ethical Hacker = Simule les attaques du Hacker. 6
  7. 7. Quelques chiffres 7
  8. 8. Quelques chiffres 8 262,813 Complaints Reported to the IC3 in 2013
  9. 9. Quelques chiffres 9 $781,840,611 Total Loss Reported to the IC3 in 2013
  10. 10. Quelques chiffres 10
  11. 11. Terminologie • Exploit Le moyen utilisé pour casser la sécurité d’un système informatique. Logiciels malicieux, commandes, profiter des vulnérabilités matérielles et logicielles. 11
  12. 12. Terminologie • Vulnérabilité Défaut de conception ou d’implémentation qui pourra permettre d’accéder aux ressources non autorisées (Bypass). 12
  13. 13. Terminologie • Cible d’évaluation Système informatique, produit, composant sujet à une évaluation de sécurité. 13
  14. 14. Terminologie • Attaques Zero-day Attaques qui exploitent les failles Zero-day. • Failles Zero-day Des vulnérabilités détectées dans les applications avant que le développeur ne réalise un patch ou un correctif. 14
  15. 15. Terminologie • Daisy Chaining Après avoir pris le contrôle d’un système, le hacker efface ses traces et l’utilise pour attaquer d’autres systèmes. 15
  16. 16. Eléments de la sécurité 16 Confidentialité Disponibilité Intégrité
  17. 17. Eléments de la sécurité • Confidentialité C’est l’assurance que l’information n’est accessible qu’aux personnes ayant l’accès. 17
  18. 18. Eléments de la sécurité • Intégrité C’est la fiabilité des données ou des ressources en termes de prévention des changements non autorisés. 18
  19. 19. Eléments de la sécurité • Disponibilité C’est l’assurance que le système soit accessible pour les utilisateurs autorisés. 19
  20. 20. Eléments de la sécurité 20 Confidentialité Disponibilité Intégrité
  21. 21. Eléments de la sécurité 21 Confidentialité Disponibilité Intégrité Non répudiation Authenticité
  22. 22. Eléments de la sécurité • Authenticité La qualité de communication, des documents ou des données doit être authentique et non corrompue. 22
  23. 23. Eléments de la sécurité • Non répudiation C’est l’assurance que les parties d’un contrat ne peuvent pas nier l’authenticité de leurs signatures. 23
  24. 24. Menaces et vecteurs d’attaque 24
  25. 25. Vecteurs d’attaques 25 Cyber Crime Logiciels non patchés Malwares ciblés Système d’information Complexité de l’infrastructure Coopération avec les gouvernements Réseaux sociaux Applications réseaux Menaces internes Botnets Manque d’experts en sécurité Virtualisation Hacktivism Sécurité Mobile Politiques de sécurité
  26. 26. Menaces de sécurité Menaces Naturelles Menaces Physiques Inondations Tremblements de terre Catastrophes naturelles .. Pertes ou dommages des ressources Intrusions physiques Sabotage et espionnage Hackers Social Engineering Manque de conscience 26 Menaces Humaines
  27. 27. Menaces de sécurité Menaces Humaines Réseau Hôte Application Information Gathering Malware Attacks Sniffing Target Footprinting Spoofing Password Attacks Session Hijacking Denial of Service Man-in-the-Middle Arbitrary Code Execution SQL Injection Privilege Escalation ARP Poisoning Back-door Attacks Denial of Service Physical Security Threats Data/Input Validation Authentification Attacks Information Disclosure Session Management Buffer Overflow Cryptography Attacks Error Handling Auditing and Logging 27
  28. 28. Classes des Hackers 28
  29. 29. Classes des Hackers Black Hats White Hats Gray Hats Cyber Terrorists 29
  30. 30. Classes des Hackers Script Kiddies Spy Hackers Suicide Hackers State Sponsored 30
  31. 31. Phases du Hacking 31
  32. 32. Phases du Hacking • Reconnaissance • Scan • Prise d’accès • Maintien d’accès • Backtracking 32
  33. 33. Phases du Hacking • Reconnaissance Etape de récolte d’informations. Passive : Sans interaction avec la cible (informations publiques). Active : Interagit avec la cible (ports, services, architecture…) 33
  34. 34. Phases du Hacking • Scan Extension de la reconnaissance active. Utiliser des outils pour déterminer les ports ouverts, le mapping système, l’infrastructure de sécurité… Scan de vulnérabilités. 34
  35. 35. Phases du Hacking • Prise d’accès Accéder au système cible en exploitant les vulnérabilités trouvées. 35
  36. 36. Phases du Hacking • Maintien d’accès Utilisation d’un Backdoor ou d’un Cheval de Troie (Trojan). 36
  37. 37. Phases du Hacking • Backtracking Suppression de toutes les évidences de la présence du hacker dans le système ainsi que ses activités. 37
  38. 38. Conclusion 38
  39. 39. L’Ethical Hacking est-il nécessaire ? L'évolution débridée de la technologie entraine une croissance des risques qui y sont associées. L’Ethical Hacking tend à prévoir ces vulnérabilités et anticiper les attaques. 39
  40. 40. L’Ethical Hacking est-il nécessaire ? • Ethical Hacking : puisque le piratage comprend de l'intelligence et la créativité, les tests de vulnérabilité et d'audits ne peuvent pas assurer la sécurité du réseau. 40
  41. 41. L’Ethical Hacking est-il nécessaire ? • Stratégie de Défense en Profondeur : Afin d'y parvenir, les organisations doivent implémenter une stratégie de défense en profondeur en pénétrant leur réseau pour estimer les vulnérabilités et les exposer. 41
  42. 42. Défense en profondeur 42
  43. 43. 43

×