La sécurité informatique pour une petite équipe

774 vues

Publié le

par Pierre-Olivier Bourge, 17 décembre 2013

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
774
Sur SlideShare
0
Issues des intégrations
0
Intégrations
120
Actions
Partages
0
Téléchargements
33
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité informatique pour une petite équipe

  1. 1. Geeks Anonymes LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013
  2. 2. Geeks Anonymes LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » (http://www.clusif.asso.fr) Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013
  3. 3. Responsable IT dans une petite structure ... ? “développeur” admin réseau scripts réseau parc machines responsable sécurité IT Geek needed ? analyse de risques e nc na te ain m users et” s pc, mac, linux me proj ce ti e d sour helpdesk OSes ef res “ch brancher les PCs ... admin système et que sais-je encore ... (c) Pierre-Olivier Bourge 2013
  4. 4. La  sécurité  ? pour  les  autres  ? Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
  5. 5. La  sécurité   informa3que  ? “ 60 % des cas sont liés à de l’espionnage industriel ! ” Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013) Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf 100% security is neither feasible nor the appropriate goal (Source : KPMG.nl) Cyber security will never be “solved” but will be “managed” (Source : Ravi Sandhu - UTSA Institute for Cyber Security) (c) Pierre-Olivier Bourge 2013
  6. 6. La  sécurité  ? faut-­‐il  être  parano  pour  autant  ? véridique ! Van Eck phreaking non  ...  mais  ne  soyez  pas  naïf  !
  7. 7. La  sécurité  ? Patriot Act connaissez-­‐vous   ceci  ? Et ses implications ... ?!
  8. 8. Pa tr io t A ct La  sécurité  ?
  9. 9. IT Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement (c) Pierre-Olivier Bourge 2013
  10. 10. Encore faut-il savoir ce que l’on a à protéger ... Sécurité Informatique Disponibilité Confidentialité Intégrité Force probante Control,  monitor,   and  log  all  access  to   protected  assets Hardware Software Humain Environnement 99% of the attacks are thwarted by basic hygiene and some luck 1% of the attacks are difficult and expensive to defend or detect (c) Pierre-Olivier Bourge 2013
  11. 11. S’assurer  que  tout  changement  du  système  ne  reme4e  pas  en   cause  les  mesures  de  sécurité  établies  pour  protéger  le  patrimoine Sécurité Informatique Hardware Software Humain Environnement Disponibilité Confidentialité Intégrité Force probante Patriot Act Cloud Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? (c) Pierre-Olivier Bourge 2013
  12. 12. Effective cyber security is less dependent on technology than you think (KPMG.nl) Sécurité Informatique maillon le plus faible ! Hardware Software Humain Environnement Disponibilité Confidentialité Intégrité Force probante Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? (c) Pierre-Olivier Bourge 2013
  13. 13. Sécurité IT • Où / quels sont les risques ? Vulnerability = leaving your car unlocked peu importe Exposure = thief identifies this and opens the door. Risk factor will increase if either factor is changed (e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.) Types  de  risques Risk = Vulnerability * Exposure - Security
  14. 14. Sécurité IT • Où / quels sont les risques ? peu importe Décider : 1) ce qu’il y a à protéger 2) de quoi ? 3) comment ? Mode : sécurité par défaut Types  de  risques Risk = Vulnerability * Exposure - Security
  15. 15. Types  de  risques Bâtiment, bureaux, armoires, câbles, ... port USB : vol de données ? (juice jacking) BYOD = BYOD
  16. 16. Sécurité physique : Chiffrement (“cryptage”) • depuis l’antiquité • “masque jetable” ★ (sécurité inconditionnelle = théoriquement incassable) combiné à MQ • symétrique / asymétrique ★ DES, Triple DES, AES, ... (symétrique), RSA, ... (asymétrique) • problème : ★ générer clef réellement aléatoire (S/N) [phénomènes physiques] ★ transmettre la clef [valises diplomatiques] (c) Pierre-Olivier Bourge 2013
  17. 17. Sécurité physique : Chiffrement (“cryptage”) • Mac OS X : File Vault 2 • Toutes plateformes : TrueCrypt www.truecrypt.org HD ou contenant ... • Windows : No, No, No ! • Attention à la gestion de la clef ! Types  de  risques  :  “physique”  ... (c) Pierre-Olivier Bourge 2013
  18. 18. Sécurité physique : Chiffrement (“cryptage”) • PCs/Macs : TrueCrypt / FileVault • emails : TrueCrypt / OpenPGP / SSL • protocoles sécurisés : https / ssh Types  de  risques  :  “écoute”  ... (c) Pierre-Olivier Bourge 2013
  19. 19. Sécurité physique : Effacement sécurisé • Mac OS X : intégré OS (cmd+empty trash) • Linux : srm, Wipe, etc. • Windows : utilitaires Cf. Eraser, CCleaner, SDelete, Piriform, etc. Types  de  risques  :  “après”  ... (c) Pierre-Olivier Bourge 2013
  20. 20. Sécurité physique : Effacement sécurisé ?
  21. 21. Types  de  risques Bâtiment, bureaux, armoires, câbles, ...
  22. 22. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... (hardware, software) • Connexions entrantes s + sortantes, • plusieurs routeurs / parefeux en série (différentes configurations) • plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA) • connexion externe : “min” • DMZ, IDS, etc.
  23. 23. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, VirusBarrier, Sophos, Avira, McAfee, Avast!, ... A5en6on  !  On  ne  joue  pas  !
  24. 24. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... access rights (users & machines), security logs, ... • No root ! • user is not admin • “least privilege” • BYOD = services, ports, accès, ... : à fermer • serveurs virtuels • Security Onion
  25. 25. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... Vous ! humain = le plus difficile car le plus imprévisible
  26. 26. Vous = humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT e.g. : 5 lettres ou 2 mots du dictionnaire accolés
  27. 27. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ Sensibilisations ! pas uniquement IT (c) Pierre-Olivier Bourge 2013
  28. 28. Humain • Sensibilisation / éducation Sensibilisations ★ dangers / risques • • ★ mots de passe • ★ comportement ✦ ! pas uniquement IT • informations sensibles apprendre à identifier les risques communs que faire ? comment gérer les informations sensibles ? changement de comportement (c) Pierre-Olivier Bourge 2013
  29. 29. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT Sensibilisations • • • • • “a password is the first gateway to security breaches” types d’attaques communes comment générer un bon mot de passe comment retenir ses mots de passe ? le BYOD = BYOD (c) Pierre-Olivier Bourge 2013
  30. 30. Confidentialité Mots de passe Complexité / Changement régulier Plusieurs ! idéalement un et un seul pour chaque usage un mot de passe hacké est une faille ! ... et s’il donne accès à tout ... Non accessible par ailleurs !
  31. 31. Comment  mémoriser  ? Comment mémoriser de manière sécurisée ? 1) fichier ou partition cryptés règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe 2) outil Norton (ou Keychain Access sur Mac) (c) Pierre-Olivier Bourge 2013
  32. 32. Types  d’aCaques  sur   les  mots  de  passe Attaques : où est le problème ? 1) problème n’est pas tellement à l’identification lors d’une connexion si • protocole : sécurisé • parefeu et services : bien configurés => bloqué 2) problème est plutôt : • hacker : faille, accès aux clefs/mots de passe sécurisés ? • combien de temps pour les casser ? Petite leçon sur le stockage (hachage) des mots de passe dans les ordinateurs (c) Pierre-Olivier Bourge 2013
  33. 33. Stockage  mots  de   passe Hash hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD, Whirpool, etc. (c) Pierre-Olivier Bourge 2013
  34. 34. 1) par force brute Types  d’aCaques  sur   les  mots  de  passe teste toutes les combinaisons [exemple : HpAhTbd6nWx6cCDK] parade : augmenter la longueur du mot de passe (> 8 !) 2) par dictionnaire teste les noms communs ou propres, ou les mots de passe les plus courants [exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...] parade : éviter les noms communs ou propres, les mots avec un sens courant 3) par substitution ou insertion teste des noms substitués ou insérés [exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...] parade : éviter les substitutions et les insertions à partir de noms ou de mots courants 4) par séquence ou inversion de séquences teste par les séries de chiffres, de caractères [exemple : 123456, abc123, drow (word), ...] parade : à éviter absolument (c) Pierre-Olivier Bourge 2013
  35. 35. ACaques  (force  brute) Mots de passe (exemples) : Temps maximum pour casser (en force brute) 4031 carre instantané ! 1/100ème seconde ! Picarré 3 minutes hzs!Y%2v 6 heures 8 caractères aléatoires (Windows XP) en 6 heures pour un hacker ! Constante évolution : Hz , CPU => GPU et c’est même pire ... : e.g. tables arc-en-ciel, etc. (c) Pierre-Olivier Bourge 2013
  36. 36. News  NSA  ? La  NSA  peut  décoder  tout  type  de  communica9on  chiffrée  ? Quelques  chiffres  de  puissance  de  calcul  à  l’heure  actuelle  ... CPUs GFlops X 8 alea (Windows) Lenovo 2-Core 1 20 d Mac 4-Core 7 2 10 d Top 1-GPU Hash 3 8 3 160 h 175 60 8h 600.000 200.000 9s BOINC 10.000.000 3.300.000 0,5 s Tianhe-2 35.000.000 11.000.000 0,1 s Hacker 25-GPU SETI GFlops days / hours / seconds (c) Pierre-Olivier Bourge 2013
  37. 37. Types  d’aCaques 5) par séquence au clavier teste des suites logiques au clavier [exemple : azerty, azeswxc, vgyrgb, ...] parade : éviter les substitutions à partir de noms 6) par répétition teste les répétitions [exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)] parade : à éviter (n’apporte rien, augmente le signal dans l’encryption) 7) par ruse vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe [exemple : phishing (hameçonnage), attaque “sociale”, ...] parade : vérifier votre connexion à un site sécurisé, ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ... 8) par virus un virus, ver, cheval de troie, etc. ouvre une faille dans le système [exemple : un fichier corrompu, un programme piraté, keylogger, etc.] parade : mettre à jour votre anti-virus (fait le reste) éviter comportements à risque (téléchargements, phishing, etc.) (c) Pierre-Olivier Bourge 2013
  38. 38. Types  d’aCaques 9) par ... etc. attaques par tables arc-en-ciels, “temporelle”, analyse statistiques, surchiffrement, man-in-the-middle, etc. parade : the ability to learn is just as important as the ability to monitor (KPMG.nl) (c) Pierre-Olivier Bourge 2013
  39. 39. En conclusion • Sécurité The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl) ★ affaire de tous & pas que IT ★ technique + moi + les autres ★ humain : sensibilisation & éducation ★ vigilance, veille constante ★ évaluer les risques ★ pas parano ... mais pas naïf ... (c) Pierre-Olivier Bourge 2013
  40. 40. Annexes • Comment trouver un bon mot de passe ★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...) ★ mnémotechnique (pseudo-aléatoire) ★ ★ générateurs aléatoires (vrai = source de bruit) : random.org générateurs pseudo-aléatoires (algorithmes) (c) Pierre-Olivier Bourge 2013
  41. 41. Types  de  mots  de   passe Types 1) aléatoire brut la meilleure combinaison exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5( règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués 2) phrase mnémotechnique pas loin de l’aléatoire brut lorsque suffisamment longue exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK) règle : initiales des mots, insérer chiffres, ponctuations, etc. (c) Pierre-Olivier Bourge 2013
  42. 42. Types  de  mots  de   passe Types 3) coller quelques mots + fautes, substitutions exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri NOK ! Attaque par dictionnaire et substitution 4) style SMS trop variable : si très condensé OK si phrase longue mais sinon ... ? Bof ! Attaque par dictionnaire et substitution (c) Pierre-Olivier Bourge 2013
  43. 43. Types Types  de  mots  de   passe 5) clef cryptographique commune exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a OK à Bof ! Force brute puis décode tout facilement ... Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8) 6) se méfier des sites non professionnels exemple : le site références Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ? (c) Pierre-Olivier Bourge 2013

×