Connaître son adversaire
Sébastien Bischof, IT Security Expert
Grégory Ruch, IT Security Expert
Fribourg, 6 Septembre 2016
INTERVENANTS
Grégory Ruch
Expert en sécurité des systèmes d’information
Master of Science en Technologies de l’Information...
INTRODUCTION
故曰:知彼知己,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆
“Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles...
Le b.a. - ba – Google search : «Cyber security enemies»
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 4Événement cybersécurité
A...
| 06.09.2016 | 5Événement cybersécurité
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
« Quelles sont les motivations des attaquants ? »
...
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
« Quelles sont les motivations des attaquants ? »
...
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
« Quelles sont les motivations des attaquants ? »
...
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cyber...
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cyber...
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cyber...
Comprendre les motivation des cyber attaquants
CONNAITRE SON ADVERSAIRE
Extortion  profit
| 06.09.2016 | 7Événement cyber...
CONAITRE SON ADVERSAIRE
| 06.09.2016 | 8Événement cybersécurité
Quels sont les autres motifs des attaquants (1/5)
CONNAITRE SON ADVERSAIRE
■ Justice sociale ou politique
Anonymous is a l...
Quels sont les autres motifs des attaquants (2/5)
CONNAITRE SON ADVERSAIRE
■ Patriotisme ou idéologie
«Groups of patriotic...
Quels sont les autres motifs des attaquants (3/5)
CONNAITRE SON ADVERSAIRE
■ Sabotage
«Stuxnet changed the game in our awa...
Quels sont les autres motifs des attaquants (4/5)
CONNAITRE SON ADVERSAIRE
■ Ego ou vanité
“Anonymous claims that a cybera...
Quels sont les autres motifs des attaquants (5/5)
CONNAITRE SON ADVERSAIRE
■ Vengeance
| 06.09.2016 | 13Événement cyberséc...
Evolution
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 14Événement cybersécurité
Evolution - Idées préconçues vs. réalité
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 15Événement cybersécurité
Evolution - Idées préconçues vs. réalité
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 15Événement cybersécurité
“The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
■ The 15th of August, an unknown group called Shadow Brokers started an
auct...
“The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 17Événement cybersécurité
Source: https://medium.com/@msuiche
“The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 18Événement cybersécurité
Source: https://medium.com/@msuiche
“The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 19Événement cybersécurité
Source: https://medium.com/@msuiche
“The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 20Événement cybersécurité
Source: https://medium.com/@msuiche
“The Shadow Brokers”
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 20Événement cybersécurité
Source: https://medium.com/@msuiche
CRM dans le cloud
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 21Événement cybersécurité
Ce nouveau CRM,
on le met chez nous
ou...
CRM dans le cloud
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 21Événement cybersécurité
 Les utilisateurs
consomment le servi...
CRM dans le cloud
CONNAITRE SON ADVERSAIRE
| 06.09.2016 | 22Événement cybersécurité
A l’aide de ses outils standards, l’ad...
10 Basic Cybersecurity Measures
CHECKLIST
■ Maintain an Accurate Inventory of Control System Devices and Eliminate Any
Exp...
10 Basic Cybersecurity Measures
CHECKLIST
| 06.09.2016 | 23Événement cybersécurité
Source: https://www.bsi.bund.de
Souvenez-vous ! Un adversaire attaque toujours à deux occasions:
CONNAITRE SON ADVERSAIRE
Lorsqu’il est prêt.
Lorsque vous...
ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11
ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 ...
Prochain SlideShare
Chargement dans…5
×

Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

268 vues

Publié le

A l'aide d'exemples avérés, cette présentation décrit des modèles d'attaque ainsi que les mesures appropriées pour les mitiger. Forts de leur expérience "terrain" et ses retours, les experts en sécurité de l’information d’ELCA présentent les « modi operandi » et motivations des pirates afin d'augmenter les chances de parer leurs attaques.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
268
Sur SlideShare
0
Issues des intégrations
0
Intégrations
67
Actions
Partages
0
Téléchargements
30
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

  1. 1. Connaître son adversaire Sébastien Bischof, IT Security Expert Grégory Ruch, IT Security Expert Fribourg, 6 Septembre 2016
  2. 2. INTERVENANTS Grégory Ruch Expert en sécurité des systèmes d’information Master of Science en Technologies de l’Information et de Communications – HES-SO Sébastien Bischof Expert en sécurité des systèmes d’information Master of Science en Technologies de l’Information et de Communications – HES-SO | 06.09.2016 | 2Événement cybersécurité Signe distinctif: n’est pas votre adversaire ! Signe distinctif: n’est pas votre adversaire !
  3. 3. INTRODUCTION 故曰:知彼知己,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆 “Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même, perdra inéluctablement toutes les batailles.” Sun Tzu (~ 450 ans av. J.-C.) | 06.09.2016 | 3Événement cybersécurité
  4. 4. Le b.a. - ba – Google search : «Cyber security enemies» CONNAITRE SON ADVERSAIRE | 06.09.2016 | 4Événement cybersécurité Adversaire Objectifs Capacités Processus Ciblés Etats, Services de renseignement • Information • Espionnage • Lutter contre le terrorisme / criminalité • Grande capacité financière • Concentré sur les bénéfices et moins sur les coûts • Acquisition d’expertise et formation • Attaques soutenues et insoupçonnées Terroristes • Dommages • Visibilité • Manipulation, influencer la politique • Bonne capacité financière utilisée pour des attaques physique et logique. • Acquisition d’expertise et formation sur le marché noir • Attaques physiques et logiques Crime (organisé) • Argent • Etabli dans le monde des affaires • Gain d’argent sur le long-terme • Le ratio coûts/bénéfices maitrisé • Groupes existants • Groupes de spécialistes organisés spontanément • Corruption Opportunistes “Hacktivists” • Visibilité • Dommages • Abus de vulnérabilités sur des systèmes • Peu d’investissement financier nécessaire • Très grande sphère d’influence • Amateurs et spécialistes très motivés • Développement rapidement, dynamique et imprévisible. Vandales, “script kiddies” • Prestige • Peu de ressources et de connaissances • Utilisation d’outils
  5. 5. | 06.09.2016 | 5Événement cybersécurité
  6. 6. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE « Quelles sont les motivations des attaquants ? » Le profit | 06.09.2016 | 6Événement cybersécurité
  7. 7. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE « Quelles sont les motivations des attaquants ? » Le profit | 06.09.2016 | 6Événement cybersécurité
  8. 8. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE « Quelles sont les motivations des attaquants ? » Le profit | 06.09.2016 | 6Événement cybersécurité
  9. 9. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE Extortion  profit | 06.09.2016 | 7Événement cybersécurité Source:http://www.bleepingcomputer.com/
  10. 10. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE Extortion  profit | 06.09.2016 | 7Événement cybersécurité Source:http://www.bleepingcomputer.com/
  11. 11. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE Extortion  profit | 06.09.2016 | 7Événement cybersécurité
  12. 12. Comprendre les motivation des cyber attaquants CONNAITRE SON ADVERSAIRE Extortion  profit | 06.09.2016 | 7Événement cybersécurité Source:http://www.bleepingcomputer.com/
  13. 13. CONAITRE SON ADVERSAIRE | 06.09.2016 | 8Événement cybersécurité
  14. 14. Quels sont les autres motifs des attaquants (1/5) CONNAITRE SON ADVERSAIRE ■ Justice sociale ou politique Anonymous is a loosely associated international network of activist and hacktivist entities. (www.wikipedia.org) «United States Army Cyber Command and Second Army directs and conducts integrated electronic warfare, information and cyberspace operations as authorized, or directed, to ensure freedom of action in and through cyberspace and the information environment, and to deny the same to our adversaries.» (www.arcyber.army.mil) | 06.09.2016 | 9Événement cybersécurité
  15. 15. Quels sont les autres motifs des attaquants (2/5) CONNAITRE SON ADVERSAIRE ■ Patriotisme ou idéologie «Groups of patriotic Eastern European hackers are using cyberattacks as a means to achieve Russia’s geopolitical goals.» (www.foxnews.com) | 06.09.2016 | 10Événement cybersécurité
  16. 16. Quels sont les autres motifs des attaquants (3/5) CONNAITRE SON ADVERSAIRE ■ Sabotage «Stuxnet changed the game in our awareness», Phyllis Schneck, vice president and chief technology officer for public sector at McAfee, said in an interview. «Attacks are being developed directly for the capability of creating events on a physical infrastructure.» | 06.09.2016 | 11Événement cybersécurité
  17. 17. Quels sont les autres motifs des attaquants (4/5) CONNAITRE SON ADVERSAIRE ■ Ego ou vanité “Anonymous claims that a cyberattack launched against Israeli government Web sites this weekend has caused billions of dollars of damage, although Israeli officials say there have been no major disruptions.” (www.cnet.com) | 06.09.2016 | 12Événement cybersécurité Source: xkcd.com
  18. 18. Quels sont les autres motifs des attaquants (5/5) CONNAITRE SON ADVERSAIRE ■ Vengeance | 06.09.2016 | 13Événement cybersécurité
  19. 19. Evolution CONNAITRE SON ADVERSAIRE | 06.09.2016 | 14Événement cybersécurité
  20. 20. Evolution - Idées préconçues vs. réalité CONNAITRE SON ADVERSAIRE | 06.09.2016 | 15Événement cybersécurité
  21. 21. Evolution - Idées préconçues vs. réalité CONNAITRE SON ADVERSAIRE | 06.09.2016 | 15Événement cybersécurité
  22. 22. “The Shadow Brokers” CONNAITRE SON ADVERSAIRE ■ The 15th of August, an unknown group called Shadow Brokers started an auction after claiming they hacked Equation Group (NSA entity named like that by Kaspersky, and believed to be the author of Stuxnet & Flame) | 06.09.2016 | 16Événement cybersécurité Source: https://medium.com/@msuiche
  23. 23. “The Shadow Brokers” CONNAITRE SON ADVERSAIRE | 06.09.2016 | 17Événement cybersécurité Source: https://medium.com/@msuiche
  24. 24. “The Shadow Brokers” CONNAITRE SON ADVERSAIRE | 06.09.2016 | 18Événement cybersécurité Source: https://medium.com/@msuiche
  25. 25. “The Shadow Brokers” CONNAITRE SON ADVERSAIRE | 06.09.2016 | 19Événement cybersécurité Source: https://medium.com/@msuiche
  26. 26. “The Shadow Brokers” CONNAITRE SON ADVERSAIRE | 06.09.2016 | 20Événement cybersécurité Source: https://medium.com/@msuiche
  27. 27. “The Shadow Brokers” CONNAITRE SON ADVERSAIRE | 06.09.2016 | 20Événement cybersécurité Source: https://medium.com/@msuiche
  28. 28. CRM dans le cloud CONNAITRE SON ADVERSAIRE | 06.09.2016 | 21Événement cybersécurité Ce nouveau CRM, on le met chez nous ou dans le cloud?
  29. 29. CRM dans le cloud CONNAITRE SON ADVERSAIRE | 06.09.2016 | 21Événement cybersécurité  Les utilisateurs consomment le service CRM cloud à travers un canal sécurisé  Il est très probable que le CRM soit hébergé dans une infrastructure de virtualisation.  Les Administrateurs ont accès à l’hyperviseur et ses fonctions d’administration mais pas à la machine virtuelle et ne peuvent donc pas déchiffrer le trafic. Dans le cloud!
  30. 30. CRM dans le cloud CONNAITRE SON ADVERSAIRE | 06.09.2016 | 22Événement cybersécurité A l’aide de ses outils standards, l’administrateur de l’hyperviseur peut facilement: 1. Détecter une connexion SSL/TLS entrante 2. Faire un «dump» de la mémoire de la machine virtuelle du CRM A l’aide d’un peu d’automatisation il peut: 3. Récupérer la clé privée SSL du dump de la mémoire 4. Déchiffrer le trafic et obtenir les données en clair en temps réel! Si les données étaient chiffrées directement depuis le poste de l’utilisateur puis stockées de la même façon dans le cloud, cette attaque n’aurait pas d’impact! L’occasion fait le larron! Si la possibilité existe, le risque également!
  31. 31. 10 Basic Cybersecurity Measures CHECKLIST ■ Maintain an Accurate Inventory of Control System Devices and Eliminate Any Exposure of this Equipment to External Networks ■ Implement Network Segmentation and Apply Firewalls ■ Use Secure Remote Access Methods ■ Establish Role-Based Access Controls and Implement System Logging ■ Use Only Strong Passwords, Change Default Passwords, and Consider Other Access Controls ■ Maintain Awareness of Vulnerabilities and Implement Necessary Patches and Updates ■ Develop and Enforce Policies on Mobile Devices ■ Implement an Employee Cybersecurity Training Program ■ Involve Executives in Cybersecurity ■ Implement Measures for Detecting Compromises and Develop a Cybersecurity Incident Response Plan | 06.09.2016 | 23Événement cybersécurité Source: https://ics-cert.us-cert.gov
  32. 32. 10 Basic Cybersecurity Measures CHECKLIST | 06.09.2016 | 23Événement cybersécurité Source: https://www.bsi.bund.de
  33. 33. Souvenez-vous ! Un adversaire attaque toujours à deux occasions: CONNAITRE SON ADVERSAIRE Lorsqu’il est prêt. Lorsque vous ne l’êtes pas. | 06.09.2016 | 24Événement cybersécurité Source https://twitter.com/thegrugq
  34. 34. ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11 ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11 www.elca.ch Contact Thank you. | © ELCA Sébastien Bischof | 06.09.2016 | 25Événement cybersécurité IT Security Expert Sebastien.bischof@elca.ch +41 21 613 22 80 Grégory Ruch IT Security Expert Gregory.ruch@elca.ch +41 21 613 22 69

×