SlideShare une entreprise Scribd logo
1  sur  57
Télécharger pour lire hors ligne
Les techniques des pirates
etet
Christophe Kiciak
christophe.kiciak@provadys.com
Colloque – 7 Octobre 2015
La sécurité des systèmes d’information dans les établissements sanitaires et médico
Ministère des Affaires Sociales, de la Santé et des Droits des femmes
Les techniques des pirates
et comment s’en protégeret comment s’en protéger
Christophe Kiciak
christophe.kiciak@provadys.com
La sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux
Ministère des Affaires Sociales, de la Santé et des Droits des femmes
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
Introduction
s techniques des pirates
comment s’en protéger
Introduction
TOP 10 des failles de sécurité techniques
Le joker des Pirates
Recommandations & conclusion
42,8 millions de cyber-attaques ont été recensées dans le monde en 2014
Des chiffres
alarmants
42,8 millions de cyber attaques,
Une augmentation de 48
Le coût annuel moyen attribué
LES FAITS
Des conséquences
fortes
Des conséquences
fortes
Des cibles
diverses et
nouvelles
Le coût annuel moyen attribué
millions de dollars en 2014
Soit une croissance de 34
Une forte augmentation
(+41% en 2014)
attaques ont été recensées dans le monde en 2014
attaques, soit 117 339 attaques par jour
48% par rapport à l’année précédente
attribué aux incidents de sécurité atteint 2,7attribué aux incidents de sécurité atteint 2,7
2014
34% par rapport à 2013
des incidents de cyber-sécurité en Europe
Source: PwC 2014
Nos tests d’intrusion démentent souvent les
Discours
Nous utilisons de nombreux
équipements de sécurité !
PARADOXE
équipements de sécurité !
Nos logiciels sont régulièrement
mis à jour !
Nous avons des anti-virus !
Nos salariés sont sensibilisés aux
risques informatiques !
On n’a jamais été piraté,
pourquoi changer quoi que ce soit ?
Nos tests d’intrusion démentent souvent les discours
Faits constatés
lors de nos audits
Les tests d’intrusion sans restriction
quant au mode opératoire
parviennent à exfiltrer des
données sensibles 9 fois sur 10
Les méthodes d’attaques mises en
œuvre sont souvent basées sur
les mêmes principes… depuis 15
ans !
Le piratage, ça n’arrive qu’aux autres ! »
PREMIERES REACTIONS
Pourquoi cette différence entre apparences et réalité?
Nonchalance, laxisme, incrédulité
De manière générale, les entreprises les plus confiantes à l’égard du vol de données …
Le piratage, ça n’arrive qu’aux autres ! »
«
de sécurité, nous ne risquons pas grand
Notre personnel a été formé spécifiquement contre l’ingénierie sociale !
Confiance en l’efficacité des mesures
Cet état d’esprit joue en faveur des pirates !
Pourquoi cette différence entre apparences et réalité?
De manière générale, les entreprises les plus confiantes à l’égard du vol de données …
… sont les plus vulnérables!
Nous utilisons les meilleurs équipements
de sécurité, nous ne risquons pas grand-chose ! »
Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! »
Confiance aveugle en la technique
Cet état d’esprit joue en faveur des pirates !
Equipements
de sécurité
Leur simple présence ne suffit pas !
Sont-ils positionnés judicieusement ?
Sont-ils paramétrés relativement à votre environnement ?
Ont-ils des limitations intrinsèques ?
Comme chacun sait, l’humain reste souvent le maillon faible
LES ERREURS
Pourtant ces raisonnements semblent rationnels. Pourquoi sont
Sensibilisation
Nos serveurs
n’ont pas été
piratés
Comme chacun sait, l’humain reste souvent le maillon faible
Les campagnes de sensibilisation ont
Quelle population a été ciblée ? Qu’en est
C’est possible. Mais est
La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
Leur simple présence ne suffit pas !
ils positionnés judicieusement ?
ils paramétrés relativement à votre environnement ?
ils des limitations intrinsèques ?
Comme chacun sait, l’humain reste souvent le maillon faible
Pourtant ces raisonnements semblent rationnels. Pourquoi sont-ils erronés ?
Comme chacun sait, l’humain reste souvent le maillon faible
d’un SI.
Les campagnes de sensibilisation ont-elles été efficaces ?
Quelle population a été ciblée ? Qu’en est-il des nouveaux collaborateurs ?
C’est possible. Mais est-ce un indicateur si fiable que cela ?
La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
Les techniques
des pirates
et comment s’en
protéger
2 TOP 10
Failles de sécurité
techniques
l est parfois plus simple de pirater le matériel
que le logiciel!
S’intercale entre le clavier et
l’unité centrale
Enregistre toutes les frappes
clavier (mots de passe
notamment)
Existe en version WiFi, pour
Si un équipement
de ce type
définition piratable
Ce type de
accès direct
l’équipement
FAIBLESSES DU MATERIEL
Keylogger physique Firewire
Existe en version WiFi, pour
exfiltrer les données aisément
A la portée de n’importe qui !
(coût : quelques dizaines
d’euros)
l’équipement
mots de passe
Matériel peu
câble), attaque
complexe
spécialisés expérimentaux)
#10l est parfois plus simple de pirater le matériel
équipement est pourvu
de port, il est par
piratable !
de port permet un
direct à la mémoire de
l’équipement => accès aux
Tous les systèmes autorisent la
connexion en USB de certains
équipements, sans aucune
demande de confirmation
(clavier, souris, carte réseau,
etc.)
Il est par exemple possible de
Firewire BadUSB
l’équipement => accès aux
passe
peu coûteux (un
attaque relativement
(logiciels
expérimentaux)
Il est par exemple possible de
créer une souris, qui en fait se
fera passer pour un clavier
auprès du système.
Des commandes malveillantes
seront alors exécutées sur la
machine, pour la pirater.
Attaquer le matériel est souvent très efficace…
Pourquoi s’embêter
à contourner des protections complexes,
si on peut attaquer ce qui n’est pas protégé du tout
Problème de confiance au matériel
FAIBLESSES DU MATERIEL
?
Les logiciels n’ont souvent pas d’autre choix
que de faire confiance au matériel
Seuls certains protocoles précis utilisent des
mécaniques spécifiques pour empêcher ce
type d’attaques
Néanmoins, de nombreux protocoles
historiques (USB…) en sont exempts
Attaquer le matériel est souvent très efficace…
Indétectable & imparable !
#10
Les exemples énoncés ici sont les plus
connus. D’autres attaques basées sur le
même principe existent.
Elles ne sont pas détectables sans matériel
particulier, et ne peuvent pas facilement être
bloquées (à moins de mettre en œuvre un
paramétrage très contraignant)
Par conséquent, la paranoïa est de mise :
n’acceptez aucun cadeau informatique! (clefs
USB, souris, haut-parleur externe, etc.)
Les erreurs courantes
Accès au matériel informatique
Nota beneFAIBLESSES DU MATERIEL
A RETENIR
Accès au matériel informatique
par des inconnus / externes
Branchement de matériel
personnel
Matériel d’origine externe (clé
USB, chargeur, téléphone, etc.)
Les bons réflexes
Contrôle d’accès systématique :
clé, badge, biométrique, …
Si ce n’est pas possible, le
#10
Si ce n’est pas possible, le
matériel doit être au minimum
verrouillé (authentification
nécessaire avant utilisation)
Sensibilisation des utilisateurs
Ecriture et respect d’une charte
informatique
Exemple : le chiffrement des données
es données informatiques sont précieuses : métaphore du bijoux
CRYPTOGRAPHIE MAL UTILISEE
Les bijoux précieux sont
souvent stockés dans
des coffres forts
Ces coffres rendent le
vol beaucoup plus
difficile
Malheureusement, un serveur informatique
le coffre doit donc rester
Exemple : le chiffrement des données
précieuses : métaphore du bijoux
#9
Problème : le coffre-fort n’offre
plus aucune sécurité dès lors queplus aucune sécurité dès lors que
l’on souhaite porter ses bijoux !
serveur informatique se sert en permanence des données :
rester ouvert !
Les erreurs courantes
CRYPTOGRAPHIE MAL UTILISEE
Sentiment de sécurité lié au
jargon ou aux discours
commerciaux
A RETENIR
Pas de chiffrement d’un
périphérique nomade
Chiffrement appliqué au mauvais
endroit, ou partiellement
Chiffrement totalement
transparent pour l’utilisateur
Les bons réflexes
#9
Mise en doute systématique de la
sécurité : demande des
certifications, audits, etc.
Chiffrement total des supports
susceptibles d’être perdus / volés
/ accédés
Chiffrement nécessitant une
authentification (passphrase, ou
mieux, TPM)
Les applications que vous utilisez quotidiennement
se présentent sous diverses formes
Application Web / Client léger
• Technologie très classique
• Technologie très connue
MAUVAISE ARCHITECTURE APPLICATIVE
• Technologie très connue
• Interopérabilité maximale (navigateurs
standards)
• Ergonomie parfois peu adaptée aux
impératifs métiers (point en amélioration)
• Vulnérable à des attaques classiques (e.g.
Top 10 OWASP)
Selon vous, quelle famille d’applications offre habituellement le
meilleur niveau de sécurité ?
Les applications que vous utilisez quotidiennement
Client lourd
• Technologie souvent propriétaire
#8
• Logiciels / Progiciels souvent peu connus
de la communauté des hackers
• Ergonomie au plus près des impératifs
métiers
• Attaques moins populaires / moins
documentées
Selon vous, quelle famille d’applications offre habituellement le
meilleur niveau de sécurité ?
Posons la question différemment…
Vous partez en vacances.
Afin de nourrir vos animaux de compagnie durant votre
absence :
MAUVAISE ARCHITECTURE APPLICATIVE
Ex.
A.
B.
C.
Vous laissez un double des clefs à vos parents
Vous laissez un double des clefs au voisin
Vous laissez vos clefs sous le paillasson : quelqu’un finira
bien par les nourrir
De nombreuses établissements et entreprises
répondent « C »!
Vous partez en vacances.
Afin de nourrir vos animaux de compagnie durant votre
#8
Vous laissez un double des clefs à vos parents
Vous laissez un double des clefs au voisin
Vous laissez vos clefs sous le paillasson : quelqu’un finira
Il est naturel de rendre vos clefs les plus
inaccessibles possibles aux éventuels voleurs.
Il en va de même en informatique !
Architecture n
Clients web
Web services
Le tiers web
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Ce type d’architecture a de nombreux avantages, dont celui de positionner les
données plus loin du pirate
Web services
Clients lourds
Côté client
Architecture n-tiers typique
Le tiers
ressource
(EIS)
Le tiers
ressource
#8Ne jamais oublier : l’important, c’est la donnée !
Ce type d’architecture a de nombreux avantages, dont celui de positionner les
plus loin du pirate
Le tiers du
milieu
(EIS)
Côté serveur
Web services
Le tiers du milieu
ressource
(Les données)
MAUVAISE ARCHITECTURE APPLICATIVE
Ne jamais oublier : l’important, c’est la donnée !
Architecture 2-tiers «
Malheureusement, de nombreuses applications métier
pas cette considération en compte
Client lourd
Côté client
Le tiers
ressourceLe tiers
#8Ne jamais oublier : l’important, c’est la donnée !
tiers « client-serveur »
applications métier ne prennent
pas cette considération en compte !
(EIS)
Côté serveur
Le tiers
ressource
(Les données)
Si le client lourd a utilisé un secret, il est probablement dans sa
Il est très facile de lire la mémoire d’un processus lancé sur sa propre machine
MAUVAISE ARCHITECTURE APPLICATIVE
Dans les architectures client-serveur, la sécurité est souvent
Si le client lourd a utilisé un secret, il est probablement dans sa mémoire
est très facile de lire la mémoire d’un processus lancé sur sa propre machine
Exemples typiques d’éléments récoltés
de cette manière :
Exemples typiques d’éléments récoltés
de cette manière :
#8serveur, la sécurité est souvent…
…du mauvais côté !
de cette manière :
• Mot de passe « maître » de la base
de données
• Identifiants / Mots de passe d’autres
utilisateurs
• Comptes de service
• Clefs de chiffrement
• Autres éléments « secrets » divers
de cette manière :
• Mot de passe « maître » de la base
de données
• Identifiants / Mots de passe d’autres
utilisateurs
• Comptes de service
• Clefs de chiffrement
• Autres éléments « secrets » divers
Ici, connexion directe à une base de donnée (Oracle
MAUVAISE ARCHITECTURE APPLICATIVE
Avec ces éléments secrets, voler les données
devient très simple
Ici, connexion directe à une base de donnée (Oracle) au moyen d’un compte volé en mémoire :
Il est également parfois possible de
modifier le logiciel lui-même :
#8Avec ces éléments secrets, voler les données
• Modification du comportement du
logiciel (débridage de l’interface,
accès aux menus administrateur, etc.)
• Contournement de l’authentification
• Ajout d’un cheval de Troie dans le
logiciel
• Etc.
Les erreurs courantes
Confiance dans les technologies
et logiciels moins connus /
documentés
MAUVAISE ARCHITECTURE APPLICATIVE
A RETENIR
documentés
Confiance dans le discours
marketing de l’éditeur logiciel
Développement de logiciels
« maison » traitant des données
sensibles
Les bons réflexes
Suivi des bonnes pratique de
développement
#8
Audit par un organisme
indépendant
Implication d’un expert sécurité
dans le développement
MAUVAISE GESTION DES PRIVILÈGES
Supposons que le Président de la République…
…se promène en scooter avec le bouton nucléaire
sous le bras.
iliser un compte administrateur,
est aider le pirate s’il parvient à
ous faire exécuter un malware
Faire tourner un service réseau en
« root »,
c’est donner les clefs de l’Entreprise à
la première faille publique l’affectant
Profil Utilisateur Services informatiques
Bien évidemment, une telle situation créerait un tollé général.
Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
#7
…se promène en scooter avec le bouton nucléaire
sous le bras. « With great power com
great responsibilit
(Uncle B
tourner un service réseau en
»,
donner les clefs de l’Entreprise à
la première faille publique l’affectant
Utiliser un compte DBA pour une
application web, c’est fournir une
belle porte d’entrée aux pirates
vers le réseau interne
informatiques Bases de données
Bien évidemment, une telle situation créerait un tollé général.
Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
Les erreurs courantes
Utilisation de comptes privilégiés
(Administrateur, root, etc.)
MAUVAISE GESTION DES PRIVILÈGES
A RETENIR
(Administrateur, root, etc.)
Partages et droits d’accès
permissifs (Tout le monde peut
lire/modifier)
Les bons réflexes
Utilisation systématique des
privilèges minimums
#7
privilèges minimums
Accès autorisé aux données
uniquement pour les personnes
en ayant besoin
Les plus souvent, les équipements et systèmes ne
sont pas finement configurés
Exemple d’un équipement en vogue : le Web Application
MAUVAISES CONFIGURATIONS
Par défaut, les équipements ou logiciels dédiés à la
Faille de
l’application
web
Protection
par défaut ?
Protection
par défaut ?
En entrant directement
l’URL des fonctions
d’administration, il est
possible pour un utilisateur
classique d’y accéder
Non
le WAF n’a aucun moyen de
connaître quelle page doit
être réservée à quel rôle
En utilisant habilement le
moteur de recherche du site
institutionnel, il est possible
d’afficher des données
le WAF n’a aucun moyen de
distinguer l’information
confidentielle du reste
Les plus souvent, les équipements et systèmes ne
Exemple d’un équipement en vogue : le Web Application Firewall (WAF)
#6
équipements ou logiciels dédiés à la sécurité…
… offrent rarement une protection optimale.
En utilisant habilement le
moteur de recherche du site
institutionnel, il est possible
d’afficher des données
internes au groupe
Non
le WAF n’a aucun moyen de
distinguer l’information
confidentielle du reste
En changeant la valeur d’un
paramètre dans l’URL (ex:
« ID=1234 »), il est
possible de lire les données
des autres utilisateurs
Non
le WAF n’a aucun moyen de
savoir que telle donnée est
réservée à tel utilisateur
D’autres cas malheureusement communs ne sont
pas protégés par les WAF
Cas réels :
MAUVAISES CONFIGURATIONS
1
Etourderies, oublis, mesures temporaires, test…
Utilisation du moteur de recherche sur le site
institutionnel (mot clef = admin). Mot de passe
retourné ! Piratage de tout le SI, des milliers de
comptes personnels accessibles.
Oubli d’une interface d’administration sur une
machine (login = mot de passe). Accès en « live »
à toute la base client (plusieurs dizaines de
milliers)
Tout le monde commet des erreurs : c’est pour cela que les
phases de contrôle systématiques sont indispensables
1
2
D’autres cas malheureusement communs ne sont
Identification d’une machine de développeur
accessible depuis Internet : tous les codes sources
de toutes les applications du groupe en libre
#6
3
test…
… Autant d’invitations au vol des données !
de toutes les applications du groupe en libre
service ! Dans ce code source, présence de mots
de passe permettant la prise de contrôle de tout
le SI du groupe.
Site vitrine Français bien sécurisé, mais…
l’équivalent pour l’Asie truffé de failles. Prise de
contrôle du serveur asiatique, qui se trouve être
relié au réseau interne de tout le groupe. Accès à
des milliers de comptes.
Tout le monde commet des erreurs : c’est pour cela que les
phases de contrôle systématiques sont indispensables
4
Parfois, la situation est même pire : pas de
sécurité en plus, mais… de la sécurité en moins !
Ex: Lotus Domino (messagerie
de type webmail)
MAUVAISES CONFIGURATIONS
Certains logiciels sont vulnérables à des
Tout utilisateur peut consulter
l’annuaire
Celui-ci divulgue par défaut les mots de
passe (hashés) de tous les utilisateurs
Accéder à de nombreuses boîtes mail
est alors aisé !
Ajuster les configurations finement est fastidieux
Néanmoins, c’est une étape impérative, souvent négligée
Parfois, la situation est même pire : pas de
la sécurité en moins !
#6
Certains logiciels sont vulnérables à des attaques très célèbres par défaut
Ajuster les configurations finement est fastidieux
Néanmoins, c’est une étape impérative, souvent négligée
Les erreurs courantes
Configuration par défaut (ex :
mot de passe du fabricant
inchangé)
MAUVAISES CONFIGURATIONS
A RETENIR
inchangé)
Méconnaissance des
fonctionnalités disponibles /
activées
Les bons réflexes
Revue et durcissement
systématique de la configuration
#6
systématique de la configuration
Demande d’information au
fournisseur et/ou à l’installateur
Désactivation des fonctionnalités
non utilisées
Utilisation de référentiels /
guides de sécurité
Pas de sécurité sans un solide système d’authentification… et
pourtant, tellement de failles !
Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions
AUTHENTIFICATION DEFAILLANTE
Constat
Résultat
Les utilisateurs détestent
les mots de passe
Ils utilisent des mots de
passe simples
Ils les stockent n’importe
comment
Les informaticiens ne les
aiment pas non plus !
Nos tests montrent que
de nombreux services
utilisent les mots de
passe
(Welogic
Pas de sécurité sans un solide système d’authentification… et
Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions
#5
Les informaticiens ne les
aiment pas non plus !
Nos tests montrent que
de nombreux services
utilisent les mots de
passe par défaut !
Welogic, Oracle, Tomcat,
etc.)
Et même avec un mot de
passe solide…
… Il faut s’en servir pour
accéder aux données. Se
servir d’un mot de passe,
c’est l’exposer
momentanément.
• Bases de données
(par défaut)
• HTTP
• LM / NTLM
Attaque WPAD
Historique
Chiffrement
inexistant/défaillant
AUTHENTIFICATION DEFAILLANTE
De plus, certains protocoles n’utilisent pas d’authentification
du tout, ou encore une authentification non sûre
• HTTP
• Telnet (1969 !)
• FTP
• NIS / NFS
• Attaque WPAD
• Attaque SAMBA
• Pass-the-Hash
Tous ces sigles vous sont peut
En effet, malgré leur sécurité parfois nulle
monde entier !
NTLM / NTLM v2
WPAD
• DNS
DHCP
Historique Pré-Historique
#5De plus, certains protocoles n’utilisent pas d’authentification
encore une authentification non sûre
WPAD
SAMBA
Hash
• DHCP
• ARP
• BGP
Tous ces sigles vous sont peut-être familiers…
parfois nulle, ils restent très employés, parfois par le
monde entier !
Les erreurs courantes
Absence d’authentification
AUTHENTIFICATION DEFAILLANTE
A RETENIR
Mot de passes faibles (voire
triviaux)
Mots de passe par défaut
Stockage des mots de passe dans
un fichier en clair et/ou mal
protégé
Les bons réflexes
Authentification systématique
Authentification forte (carte à
puce, biométrie) si possible
#5
Utilisation de phrases (avec
chiffres et symboles) ou d’un outil
spécialisé
Changement systématique des
mots de passe
puce, biométrie) si possible
Utilisation d’un outil spécialisé de
gestion des mots de passe
Failles applicatives ?
Glissement des attaques systèmes
vers des attaques applicatives
Les réseaux sont de plus en plus
APPLICATION WEB MAL SECURISEES
Sécuriser une application web : un vrai défi !
« 75% des attaques sur le web exploitent
les vulnérabilités des applications
Les réseaux sont de plus en plus
sécurisés
Les applications elles-mêmes sont
généralement plus simples à pirater
• Equipements de protection pas si
répandus
• Les développeurs sont peu
formés à la sécurité
• Les méthodes de hacking
applicatif circulent sur Internet
OWASP Testing Guide
L’OWASP est l’organisme de référence
pour la sécurité des sites web
#4Sécuriser une application web : un vrai défi !
75% des attaques sur le web exploitent
les vulnérabilités des applications » (Gartner).
pour la sécurité des sites web
Son guide de test de sécurité propose
une centaine de types de test (avec de
très nombreuses sous-catégories)
De nombreux tests ne sont pas
automatisables (contexte métier par
exemple)
Failles web : quelles conséquences ?
Le vol des données :
- Données des utilisateurs (mots de passe, coordonnées, etc
- Données métier (en lien avec la nature du site)
- Dans le cas d’applications mutualisées entre plusieurs
APPLICATION WEB MAL SECURISEES
ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont
as significatives… En fait, elles permettent par
- Dans le cas d’applications mutualisées entre plusieurs
(SaaS par exemple), vol de données très diverses en une seule fois
L’exécution d’actions métier (virement, création/suppression de comptes,
passage d’ordre, etc.)
La modification du contenu (« Defacement » par exemple)
L’utilisation de votre site pour attaquer ses autres utilisateurs
L’utilisation de vos systèmes pour perpétrer d’autres actions illégales
Utilisation du site web comme porte d’entrée vers le réseau interne,
en vue d’un piratage complet de l’entreprise
Failles web : quelles conséquences ?
des utilisateurs (mots de passe, coordonnées, etc.)
le cas d’applications mutualisées entre plusieurs entreprises
#4
Les conséquences des
ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont
as significatives… En fait, elles permettent par exemple :
le cas d’applications mutualisées entre plusieurs entreprises
), vol de données très diverses en une seule fois
(virement, création/suppression de comptes,
par exemple)
ses autres utilisateurs
actions illégales
réseau interne,
Les conséquences des
piratages de site web
peuvent être tout aussi
désastreuses pour
l’entreprise que les autres
formes de piratage
Introduction
Les techniques
des pirates
et comment s’en
protéger
1 INTRODUCTION
Introduction
1. Découverte
Recherche de tous les
éléments accessibles
2. Corrélation
Des bases
contenant toutes
publiquement
disponibles
gratuitement
MANQUES DE MISE A JOUR
Si vos équipements, serveurs ou applications ne sont pas tout
à fait à jour, le piratage peut être direct
’outillage est en effet complètement automatisé
Identification des différents
types et versions (techniques
de « fingerprinting »)
gratuitement
En entrant
type et la
composant,
immédiatement
de sécurité
Corrélation
de données
toutes les failles
publiquement connues sont
sur Internet,
3. Exploitation
Des codes d’attaques
existent aussi sur Internet
(dans certains cas, ils
peuvent être payants : un
marché très important
#3Si vos équipements, serveurs ou applications ne sont pas tout
à fait à jour, le piratage peut être direct :
est en effet complètement automatisé
simplement le
version d’un
on connaît
immédiatement son niveau
marché très important
existe)
Le piratage est alors très
simple : l’utilisation d’un outil
automatique ne nécessite
que peu de compétences
Tous les composants doivent être régulièrement
mis à jour : une réelle organisation stricte est nécessaire
Equipements / Réseau
o Switchs
o Routeurs
o WAF
o Load Balancers
o Etc.
Windows (Serveurs & Postes utilisateurs)
MANQUES DE MISE A JOUR
Systèmes / Services
Applicatifs
o Windows (Serveurs & Postes utilisateurs)
o Linux
o IIS / Apache /
o iOS / Android
o Bases de données
o Etc.
o OpenSSL
o CMS : WordPress,
o Navigateurs Internet
o Suite Microsoft Office
o Antivirus
o Etc.
les composants doivent être régulièrement
réelle organisation stricte est nécessaire
Switchs
Routeurs
Balancers
Windows (Serveurs & Postes utilisateurs)
#3
Windows (Serveurs & Postes utilisateurs)
IIS / Apache / Tomcat / Weblogic / …
iOS / Android
Bases de données
OpenSSL
CMS : WordPress, Jahia, Drupal, …
Navigateurs Internet
Suite Microsoft Office
Antivirus
Les erreurs courantes
Pas d’application des mises à jour
MANQUES DE MISE A JOUR
A RETENIR
Utilisation de systèmes obsolètes ne
recevant plus de mises à jour : Windows
95, 98, XP, NT , 2000, 2003
Mises à jours limitées aux serveurs et /
ou postes de travail
Les bons réflexes
Mises à jour systématiques et
obligatoires, voire automatiques
#3
Migration des systèmes
Circonscription de ceux ne pouvant l’être
Identification et suivi de l’ensemble des
équipements devant être mis à jour
Un réseau interne d’entreprise présente une surface
d’attaque énorme
Grande surface d’attaque ?
Infrastructure Windows AD
Authentification LM / NTLM / NTLMv2
Postes utilisateurs Windows WPAD /
RESEAUX INTERNES FACILES A PIRATER
Lors des tests d’intrusion de réseaux internes, nous sommes parvenus
à accéder aux données confidentielles de l’entreprise dans 95% des cas
Postes utilisateurs Windows WPAD /
SAMBA
Partages de fichiers, souvent très ouverts
Services par dizaines / centaines / milliers
Dizaines, centaines, voire milliers de comptes
utilisateurs, et autant de mots de passe
Etc.
Un réseau interne d’entreprise présente une surface
Et alors ?
Contrairement aux tests depuis Internet, il
n’y a en général pas (ou peu) de sécurité
#2
Lors des tests d’intrusion de réseaux internes, nous sommes parvenus
à accéder aux données confidentielles de l’entreprise dans 95% des cas
n’y a en général pas (ou peu) de sécurité
réseau
De fait, la plupart des éléments sont
accessibles
Cette surface d’attaque énorme offre une
telle diversité, qu’en général, toutes les
attaques évoquées jusqu’ici sont
potentiellement efficaces !
RESEAUX INTERNES FACILES A PIRATER
l existe tellement de possibilités de piratage, que
out contrer est très difficile, surtout dans la durée
Sécuriser un réseau interne est une
tâche colossale
De plus, le travail doit se faire
constamment, impossible de le faire
Tant de possibilités!
#2l existe tellement de possibilités de piratage, que
out contrer est très difficile, surtout dans la durée
constamment, impossible de le faire
« une fois pour toute »
Mettre en place une surveillance est
très important : si on ne peut tout
bloquer, on peut souvent détecter !
Bien évidemment, cela montre que la
sécurité périmétrique est très
importante : le pirate ne doit pas
pouvoir entrer sur le réseau interne
Les erreurs courantes
Faible niveau de protection dans
le réseau interne
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
le réseau interne
Absence de surveillance du
réseau interne
Les bons réflexes
Suivi des bonnes pratiques
(mises à jour, authentification,
permissions, etc.)
#2
permissions, etc.)
Mises en place de mécanismes de
détection (équipement, équipe,
etc.)
Les connexions WiFi au réseau interne peuvent aider
es pirates
Connexion
Du matériel spécialisé permet
une connexion à moyenne
Attaques classiques
De nombreux réseaux
RESEAUX INTERNES FACILES A PIRATER
une connexion à moyenne
distance
Un piratage est donc possible
depuis l’extérieur de
l’établissement visé
De nombreux réseaux
vulnérables à
classiques et connues
o WEP,
o WPA mal configuré,
o WPS,
o portail captif
au réseau interne peuvent aider
Attaques classiques
réseaux Wifi sont
Aide des utilisateurs
à leur insu !
Certains équipements créent ou
se connectent automatiquement
#2
réseaux Wifi sont
des attaques
connues :
configuré,
captif vulnérable
se connectent automatiquement
des réseaux Wifi
Les utilisateurs se connecten
parfois au réseau WiFi et au
réseau filaire simultanément
créant un pont
Cas du BOYD
Le cas particulier : le WiFi
Les erreurs courantes
WEP (quelle que soit la clé)
WPA avec une clé trop faible
RESEAUX INTERNES FACILES A PIRATER
A RETENIR
Pont réseau vers le réseau interne
Equipements non maîtrisés (créent ou se
connectent aux réseaux WiFi)
Les bons réflexes
WPA2 avec une clé complexe renouvelée
régulièrement ou une authentification
par certificat
#2
Isolation du réseau interne des machines
connectées au WiFi
Revue systématique de la configuration
Désactivation des réseaux non utilisés
Introduction
Les techniques
des pirates
et comment s’en
protéger
3 JOKER
Introduction
Méthodes classiques
INGENIERIE SOCIALE
Lorsque les attaques purement techniques échouent, ou
orsque les pirates ne craignent pas la détection, ils
attaquent le maillon humain
Pièges par e-mail
Appels téléphoniques
Don de matériel piégé
Comme pour les réseaux internes, la surface d’attaque est relativement
grande… et souvent, il suffit d’une seule personne
Leviers de manipulation mentale
“Le cerveau humain est comme un OS
sans firewall”
#1Lorsque les attaques purement techniques échouent, ou
orsque les pirates ne craignent pas la détection, ils
sans firewall”
Cupidité (offres promotionnelles,
appât du gain)
Idéologie (combats politiques,
religieux, etc.)
Menaces / Intimidation / Pression
Ego (mise au défi)
Etc.
Comme pour les réseaux internes, la surface d’attaque est relativement
grande… et souvent, il suffit d’une seule personne
Exemple #1 : Ingénierie sociale par
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet
Méthodologie en 3
INGENIERIE SOCIALE
Connexion à la boîte e
Analyse des informations techniques dérobées
(« cracking du hash du mot de passe
Prise de contrôle du poste de la victime
Méthodologie en 3
phases employée
habituellement
lors de nos tests
d’intrusion via
social engineering
Exemple #1 : Ingénierie sociale par e-mail
Envoi de chevaux de Troie
Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet
#1
Connexion à la boîte e-mail cible
Analyse des informations techniques dérobées
cracking du hash du mot de passe »)
Connexion à la boîte cible via webmail
Attaque interne
Prise de contrôle du poste de la victime
Utilisation du poste de la victime pour attaquer
l’annuaire interne et extraire les hashs des
mots de passe « Windows Active Directory »
La méfiance à l’égard des mails n’est finalement pas si
Résultat : succès global quasi systématique
Téléchargement
du faux formulaire
INGENIERIE SOCIALE
Exécution du
cheval de Troie
du faux formulaire
A ce niveau, le pirate a déjà un pied dans l’entreprise visée
La méfiance à l’égard des mails n’est finalement pas si grande
systématique
61,23%
Téléchargement
du faux formulaire
#1
31,70%
0% 20% 40% 60% 80% 100%
Exécution du
cheval de Troie
du faux formulaire
A ce niveau, le pirate a déjà un pied dans l’entreprise visée
Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
INGENIERIE SOCIALE
Le niveau de sensibilisation moyen est faible
#1
Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre :
Le niveau de sensibilisation moyen est faible
Autres anecdotes :
Transmission de l’offre à des amis
Multiples exécutions du cheval de
Troie
Envoi de données confidentielles
non sollicitées
Etc.
Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande
Voler des données (très) confidentielles est alors aisé
Quelques exemples de données récupérées :
Documents techniques (mots de passe !)
INGENIERIE SOCIALE
Données commerciales (ventes, futurs appels
d’offres)
Données personnelles (mails, agendas, photos,
scans de documents administratifs)
Grille des salaires
Documents métier, etc.
Il est très rare qu’une entreprise résiste à ce type d’attaque,
notamment si le pirate est bien préparé et compétent.
Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande)
des données (très) confidentielles est alors aisé
Remarques :
Les anti-virus sont souvent aveugles dès
lors que l’attaque n’est pas une attaque
#1
lors que l’attaque n’est pas une attaque
connue (signature référencée)
A nouveau, attention au faux sentiment
de sécurité !
Il est très rare qu’une entreprise résiste à ce type d’attaque,
notamment si le pirate est bien préparé et compétent.
La voix humaine est un atout pour mettre la victime en confiance
Exemple #2 : Ingénierie sociale par téléphone
But de l’exercice / Scénario
INGENIERIE SOCIALE
• But : Récupérer le mot de passe de
l’utilisateur (accès webmail par exemple)
• Exemples de scénarios utilisés :
• Fausse migration de la messagerie
• Mise en place d’une fausse nouvelle
application de réseau social
• Création d’une fausse base
documentaire interne
La voix humaine est un atout pour mettre la victime en confiance
#2 : Ingénierie sociale par téléphone
Résultats
#1
Bien que les appels aient été effectués
depuis une ligne externe, le vol d’information
a été un grand succès :
• 343 appels téléphoniques
• 166 mots de passe récupérés (48,4%)
Des réactions parfois surprenantes
• « Ne vous en faites pas, je dirige ce département et
j’avertis qu’une migration est en cours : tout le
monde vous donnera son mot de passe. »
• « Mon collègue est absent, mais je connais son mot
Morceaux choisis
INGENIERIE SOCIALE
• « Mon collègue est absent, mais je connais son mot
de passe, je vous le donne également. »
• « Je ne vous donne pas mon mot de passe
Windows, c’est interdit ! Mais voici mon mot de
passe e-mail… »
• « C’est interdit de donner son mot de passe, mais
je n’ai pas envie de subir une coupure mail, donc le
voici ! »
A noter, des campagnes de ce type ont été effectuées quelques semaines
après une étape de sensibilisation interne… avec les mêmes résultats !
et
le
mot
Pour les rares cas où la personne refuse
catégoriquement, pour éviter que l’alerte ne
En cas de refus…
#1
mot
passe
de
mais
le
catégoriquement, pour éviter que l’alerte ne
soit donnée, plusieurs méthodes sont
envisageables.
Par exemple, on explique que dans ce cas, le
mot de passe va être réinitialisé, et on donne
à la personne un (faux) nouveau mot de
passe qu’elle doit « bien noter ».
A noter, des campagnes de ce type ont été effectuées quelques semaines
après une étape de sensibilisation interne… avec les mêmes résultats !
Les erreurs courantes
Manque d’information des
INGENIERIE SOCIALE
A RETENIR
Manque d’information des
utilisateurs
Ignorance ou refus des risques
liés au facteur humain
Les bons réflexes
Sensibilisations régulières
#1
Sensibilisations régulières
Campagnes d’informations
Campagnes de test
Analyse des risques encourus
Les techniques
des pirates
et comment s’en
protéger
4 Recommandations &
Conclusions
ue faire ?
Développement : attention, si de
mauvais choix structurels affectent les
applications utilisées, leur sécurisation
peut être quasi-impossible ! De plus
attention aux applications web,
véritables nids de failles.
Equipements de sécurité : Leur
mmandations
Technique
Equipements de sécurité : Leur
simple présence n’ajoute que peu de
sécurité. Un paramétrage fin et adapté
au contexte est nécessaire. C’est un
travail long, parfois complexe, mais
indispensable.
Ne pas négliger la sécurité du réseau
interne : la probabilité qu’un pirate s’y
retrouve connecté est très forte
(notamment dans les grands groupes)
Surveillance : S’il est difficile
d’empêcher toute attaque de réussir, a
minima, il faut pouvoir la détecter le
plus vite possible pour la neutraliser
Afin de réduire les risques de vols de
données suite à des erreurs humaines, il
est fortement conseillé de mettre en place
des campagnes de sensibilisations
répétées des utilisateurs.
Différents type de support existent :
Humain
Différents type de support existent :
affiches,
communication par messagerie,
e-learning,
séance de sensibilisation.
ue faire ?
Maîtriser la sécurité d’un équipement
ou de logiciels que vous vous procurez
n’est pas forcément chose aisée
N’hésitez pas à inclure dans vos
contrats des clauses liées à la
sécurité
Ces clauses peuvent par exemple
mmandations
Prestataires / Vendeurs
Ces clauses peuvent par exemple
demander au fournisseur de s’engager
sur une liste de points de contrôle
sécurité
Faites jouer la concurrence si un
prestataire donné s’y refuse !
Afin d’amener la sécurité d’un périmètre
informatique à un niveau correct,
certaines actions peuvent être entreprises
pour un coût très modique :
Création d’une charte informatique
Même sans grand budget
Mise en place d’une politique de mots de
passe décente
Fermeture à clef systématique des
locaux sensibles
Elaboration de fiches de réaction face à
un incident (virus, intrus, piratage,
email suspect, etc.)
Campagnes de sensibilisation simples
(affiches à la machine à café, mails
réguliers, etc.)
ue faire ?
mmandations
Guides officiels :
Guides publiés :
Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs
sanitaire et médico-social - Structure sans approche SSI
Règles pour les dispositifs connectés d’un Système d’Information de
Référentiel d’authentification des acteurs de
Référentiel d’imputabilité
Guide pratique spécifique pour la mise en place d’un accèsGuide pratique spécifique pour la mise en place d’un accès
Guides en cours d’élaboration :
Guide pour la gestion des habilitations d’accès
Gestion des événements sécurité
Guide en concertation :
Règles pour la mise en place d’un accès web au SIS pour des
Les documents publiés sont disponibles dans l’espace publication de la PGSSI
http://esante.gouv.fr/pgssi-s/espace-publication
Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI
http://esante.gouv.fr/pgssi-s/espace-concertation
Les documents en cours d’élaboration seront mis en concertation courant 2016
d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs
Structure sans approche SSI formalisée
Règles pour les dispositifs connectés d’un Système d’Information de Santé
Référentiel d’authentification des acteurs de santé
Guide pratique spécifique pour la mise en place d’un accès WifiGuide pratique spécifique pour la mise en place d’un accès Wifi
pour la gestion des habilitations d’accès
Règles pour la mise en place d’un accès web au SIS pour des tiers
Les documents publiés sont disponibles dans l’espace publication de la PGSSI-S :
publication
Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI-S :
concertation
Les documents en cours d’élaboration seront mis en concertation courant 2016
onclusions
Un retour d’expérience pessimiste ?
Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles
aux entreprises : est
Un argument souvent employé pour expliquer nos résultats consiste à dire que le
pirate moyen n’a pas le niveau technique requis.
Pour rappel :
« 80 % de la cybercriminalité est liée des bandes organisées
financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne
ue faire ?
financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne
(Interpol)
Ne sous-estimez pas la menace.
Ne surestimez pas votre niveau de sécurité.
Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité
informatique réel de votre entreprise
http://esante.gouv.fr/services/referentiels/securite/pgssi
Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles
aux entreprises : est-ce représentatif ?
Un argument souvent employé pour expliquer nos résultats consiste à dire que le
pirate moyen n’a pas le niveau technique requis. Cet argument est illusoire.
des bandes organisées transfrontalières et représente un coût
plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »
estimez pas la menace.
Ne surestimez pas votre niveau de sécurité.
Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité
informatique réel de votre entreprise
http://esante.gouv.fr/services/referentiels/securite/pgssi
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama

Contenu connexe

Tendances

Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseHushapp by Syneidis
 
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014polenumerique33
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
Audit
AuditAudit
Auditzan
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...NetSecure Day
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 

Tendances (19)

Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
 
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
 
Audit
AuditAudit
Audit
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
 

En vedette

2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - DiaporamaASIP Santé
 
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...ASIP Santé
 
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissementsASIP Santé
 
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...ASIP Santé
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolutionASIP Santé
 
2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssiASIP Santé
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...ASIP Santé
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...ASIP Santé
 
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...ASIP Santé
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a serviceASIP Santé
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...ASIP Santé
 
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...ASIP Santé
 

En vedette (13)

2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
 
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
 
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
 
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
 
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
 
2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
 
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
 
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
 

Similaire à 2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama

"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité Geeks Anonymes
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesITrust - Cybersecurity as a Service
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssiNtech33
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssiNtech33
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSICGPME des Pays de la Loire
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesSophie Roy
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Webinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresWebinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresKiwi Backup
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 

Similaire à 2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama (20)

La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menaces
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssi
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssi
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Webinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwaresWebinar : comment lutter contre les ransomwares
Webinar : comment lutter contre les ransomwares
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
La cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlogLa cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlog
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 

Plus de ASIP Santé

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssantéASIP Santé
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabiliteASIP Santé
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsanteASIP Santé
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-insASIP Santé
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 

Plus de ASIP Santé (20)

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique "
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssanté
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsante
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 

Dernier

Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Infopole1
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleErol GIRAUDY
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)IES VE
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensErol GIRAUDY
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311Erol GIRAUDY
 
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapMaxime Huran 🌈
 

Dernier (6)

Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence Artificielle
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examens
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311
 
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
 

2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" - Diaporama

  • 1. Les techniques des pirates etet Christophe Kiciak christophe.kiciak@provadys.com Colloque – 7 Octobre 2015 La sécurité des systèmes d’information dans les établissements sanitaires et médico Ministère des Affaires Sociales, de la Santé et des Droits des femmes Les techniques des pirates et comment s’en protégeret comment s’en protéger Christophe Kiciak christophe.kiciak@provadys.com La sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux Ministère des Affaires Sociales, de la Santé et des Droits des femmes
  • 2. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  • 3. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  • 4. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  • 5. Introduction s techniques des pirates comment s’en protéger Introduction TOP 10 des failles de sécurité techniques Le joker des Pirates Recommandations & conclusion
  • 6. 42,8 millions de cyber-attaques ont été recensées dans le monde en 2014 Des chiffres alarmants 42,8 millions de cyber attaques, Une augmentation de 48 Le coût annuel moyen attribué LES FAITS Des conséquences fortes Des conséquences fortes Des cibles diverses et nouvelles Le coût annuel moyen attribué millions de dollars en 2014 Soit une croissance de 34 Une forte augmentation (+41% en 2014) attaques ont été recensées dans le monde en 2014 attaques, soit 117 339 attaques par jour 48% par rapport à l’année précédente attribué aux incidents de sécurité atteint 2,7attribué aux incidents de sécurité atteint 2,7 2014 34% par rapport à 2013 des incidents de cyber-sécurité en Europe Source: PwC 2014
  • 7. Nos tests d’intrusion démentent souvent les Discours Nous utilisons de nombreux équipements de sécurité ! PARADOXE équipements de sécurité ! Nos logiciels sont régulièrement mis à jour ! Nous avons des anti-virus ! Nos salariés sont sensibilisés aux risques informatiques ! On n’a jamais été piraté, pourquoi changer quoi que ce soit ? Nos tests d’intrusion démentent souvent les discours Faits constatés lors de nos audits Les tests d’intrusion sans restriction quant au mode opératoire parviennent à exfiltrer des données sensibles 9 fois sur 10 Les méthodes d’attaques mises en œuvre sont souvent basées sur les mêmes principes… depuis 15 ans !
  • 8. Le piratage, ça n’arrive qu’aux autres ! » PREMIERES REACTIONS Pourquoi cette différence entre apparences et réalité? Nonchalance, laxisme, incrédulité De manière générale, les entreprises les plus confiantes à l’égard du vol de données … Le piratage, ça n’arrive qu’aux autres ! » « de sécurité, nous ne risquons pas grand Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! Confiance en l’efficacité des mesures Cet état d’esprit joue en faveur des pirates ! Pourquoi cette différence entre apparences et réalité? De manière générale, les entreprises les plus confiantes à l’égard du vol de données … … sont les plus vulnérables! Nous utilisons les meilleurs équipements de sécurité, nous ne risquons pas grand-chose ! » Notre personnel a été formé spécifiquement contre l’ingénierie sociale ! » Confiance aveugle en la technique Cet état d’esprit joue en faveur des pirates !
  • 9. Equipements de sécurité Leur simple présence ne suffit pas ! Sont-ils positionnés judicieusement ? Sont-ils paramétrés relativement à votre environnement ? Ont-ils des limitations intrinsèques ? Comme chacun sait, l’humain reste souvent le maillon faible LES ERREURS Pourtant ces raisonnements semblent rationnels. Pourquoi sont Sensibilisation Nos serveurs n’ont pas été piratés Comme chacun sait, l’humain reste souvent le maillon faible Les campagnes de sensibilisation ont Quelle population a été ciblée ? Qu’en est C’est possible. Mais est La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates Leur simple présence ne suffit pas ! ils positionnés judicieusement ? ils paramétrés relativement à votre environnement ? ils des limitations intrinsèques ? Comme chacun sait, l’humain reste souvent le maillon faible Pourtant ces raisonnements semblent rationnels. Pourquoi sont-ils erronés ? Comme chacun sait, l’humain reste souvent le maillon faible d’un SI. Les campagnes de sensibilisation ont-elles été efficaces ? Quelle population a été ciblée ? Qu’en est-il des nouveaux collaborateurs ? C’est possible. Mais est-ce un indicateur si fiable que cela ? La prise de contrôle d’une machine ou d’un SI n’est pas toujours le but des pirates
  • 10. Les techniques des pirates et comment s’en protéger 2 TOP 10 Failles de sécurité techniques
  • 11. l est parfois plus simple de pirater le matériel que le logiciel! S’intercale entre le clavier et l’unité centrale Enregistre toutes les frappes clavier (mots de passe notamment) Existe en version WiFi, pour Si un équipement de ce type définition piratable Ce type de accès direct l’équipement FAIBLESSES DU MATERIEL Keylogger physique Firewire Existe en version WiFi, pour exfiltrer les données aisément A la portée de n’importe qui ! (coût : quelques dizaines d’euros) l’équipement mots de passe Matériel peu câble), attaque complexe spécialisés expérimentaux) #10l est parfois plus simple de pirater le matériel équipement est pourvu de port, il est par piratable ! de port permet un direct à la mémoire de l’équipement => accès aux Tous les systèmes autorisent la connexion en USB de certains équipements, sans aucune demande de confirmation (clavier, souris, carte réseau, etc.) Il est par exemple possible de Firewire BadUSB l’équipement => accès aux passe peu coûteux (un attaque relativement (logiciels expérimentaux) Il est par exemple possible de créer une souris, qui en fait se fera passer pour un clavier auprès du système. Des commandes malveillantes seront alors exécutées sur la machine, pour la pirater.
  • 12. Attaquer le matériel est souvent très efficace… Pourquoi s’embêter à contourner des protections complexes, si on peut attaquer ce qui n’est pas protégé du tout Problème de confiance au matériel FAIBLESSES DU MATERIEL ? Les logiciels n’ont souvent pas d’autre choix que de faire confiance au matériel Seuls certains protocoles précis utilisent des mécaniques spécifiques pour empêcher ce type d’attaques Néanmoins, de nombreux protocoles historiques (USB…) en sont exempts Attaquer le matériel est souvent très efficace… Indétectable & imparable ! #10 Les exemples énoncés ici sont les plus connus. D’autres attaques basées sur le même principe existent. Elles ne sont pas détectables sans matériel particulier, et ne peuvent pas facilement être bloquées (à moins de mettre en œuvre un paramétrage très contraignant) Par conséquent, la paranoïa est de mise : n’acceptez aucun cadeau informatique! (clefs USB, souris, haut-parleur externe, etc.)
  • 13. Les erreurs courantes Accès au matériel informatique Nota beneFAIBLESSES DU MATERIEL A RETENIR Accès au matériel informatique par des inconnus / externes Branchement de matériel personnel Matériel d’origine externe (clé USB, chargeur, téléphone, etc.) Les bons réflexes Contrôle d’accès systématique : clé, badge, biométrique, … Si ce n’est pas possible, le #10 Si ce n’est pas possible, le matériel doit être au minimum verrouillé (authentification nécessaire avant utilisation) Sensibilisation des utilisateurs Ecriture et respect d’une charte informatique
  • 14. Exemple : le chiffrement des données es données informatiques sont précieuses : métaphore du bijoux CRYPTOGRAPHIE MAL UTILISEE Les bijoux précieux sont souvent stockés dans des coffres forts Ces coffres rendent le vol beaucoup plus difficile Malheureusement, un serveur informatique le coffre doit donc rester Exemple : le chiffrement des données précieuses : métaphore du bijoux #9 Problème : le coffre-fort n’offre plus aucune sécurité dès lors queplus aucune sécurité dès lors que l’on souhaite porter ses bijoux ! serveur informatique se sert en permanence des données : rester ouvert !
  • 15. Les erreurs courantes CRYPTOGRAPHIE MAL UTILISEE Sentiment de sécurité lié au jargon ou aux discours commerciaux A RETENIR Pas de chiffrement d’un périphérique nomade Chiffrement appliqué au mauvais endroit, ou partiellement Chiffrement totalement transparent pour l’utilisateur Les bons réflexes #9 Mise en doute systématique de la sécurité : demande des certifications, audits, etc. Chiffrement total des supports susceptibles d’être perdus / volés / accédés Chiffrement nécessitant une authentification (passphrase, ou mieux, TPM)
  • 16. Les applications que vous utilisez quotidiennement se présentent sous diverses formes Application Web / Client léger • Technologie très classique • Technologie très connue MAUVAISE ARCHITECTURE APPLICATIVE • Technologie très connue • Interopérabilité maximale (navigateurs standards) • Ergonomie parfois peu adaptée aux impératifs métiers (point en amélioration) • Vulnérable à des attaques classiques (e.g. Top 10 OWASP) Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ? Les applications que vous utilisez quotidiennement Client lourd • Technologie souvent propriétaire #8 • Logiciels / Progiciels souvent peu connus de la communauté des hackers • Ergonomie au plus près des impératifs métiers • Attaques moins populaires / moins documentées Selon vous, quelle famille d’applications offre habituellement le meilleur niveau de sécurité ?
  • 17. Posons la question différemment… Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre absence : MAUVAISE ARCHITECTURE APPLICATIVE Ex. A. B. C. Vous laissez un double des clefs à vos parents Vous laissez un double des clefs au voisin Vous laissez vos clefs sous le paillasson : quelqu’un finira bien par les nourrir De nombreuses établissements et entreprises répondent « C »! Vous partez en vacances. Afin de nourrir vos animaux de compagnie durant votre #8 Vous laissez un double des clefs à vos parents Vous laissez un double des clefs au voisin Vous laissez vos clefs sous le paillasson : quelqu’un finira Il est naturel de rendre vos clefs les plus inaccessibles possibles aux éventuels voleurs. Il en va de même en informatique !
  • 18. Architecture n Clients web Web services Le tiers web MAUVAISE ARCHITECTURE APPLICATIVE Ne jamais oublier : l’important, c’est la donnée ! Ce type d’architecture a de nombreux avantages, dont celui de positionner les données plus loin du pirate Web services Clients lourds Côté client Architecture n-tiers typique Le tiers ressource (EIS) Le tiers ressource #8Ne jamais oublier : l’important, c’est la donnée ! Ce type d’architecture a de nombreux avantages, dont celui de positionner les plus loin du pirate Le tiers du milieu (EIS) Côté serveur Web services Le tiers du milieu ressource (Les données)
  • 19. MAUVAISE ARCHITECTURE APPLICATIVE Ne jamais oublier : l’important, c’est la donnée ! Architecture 2-tiers « Malheureusement, de nombreuses applications métier pas cette considération en compte Client lourd Côté client Le tiers ressourceLe tiers #8Ne jamais oublier : l’important, c’est la donnée ! tiers « client-serveur » applications métier ne prennent pas cette considération en compte ! (EIS) Côté serveur Le tiers ressource (Les données)
  • 20. Si le client lourd a utilisé un secret, il est probablement dans sa Il est très facile de lire la mémoire d’un processus lancé sur sa propre machine MAUVAISE ARCHITECTURE APPLICATIVE Dans les architectures client-serveur, la sécurité est souvent Si le client lourd a utilisé un secret, il est probablement dans sa mémoire est très facile de lire la mémoire d’un processus lancé sur sa propre machine Exemples typiques d’éléments récoltés de cette manière : Exemples typiques d’éléments récoltés de cette manière : #8serveur, la sécurité est souvent… …du mauvais côté ! de cette manière : • Mot de passe « maître » de la base de données • Identifiants / Mots de passe d’autres utilisateurs • Comptes de service • Clefs de chiffrement • Autres éléments « secrets » divers de cette manière : • Mot de passe « maître » de la base de données • Identifiants / Mots de passe d’autres utilisateurs • Comptes de service • Clefs de chiffrement • Autres éléments « secrets » divers
  • 21. Ici, connexion directe à une base de donnée (Oracle MAUVAISE ARCHITECTURE APPLICATIVE Avec ces éléments secrets, voler les données devient très simple Ici, connexion directe à une base de donnée (Oracle) au moyen d’un compte volé en mémoire : Il est également parfois possible de modifier le logiciel lui-même : #8Avec ces éléments secrets, voler les données • Modification du comportement du logiciel (débridage de l’interface, accès aux menus administrateur, etc.) • Contournement de l’authentification • Ajout d’un cheval de Troie dans le logiciel • Etc.
  • 22. Les erreurs courantes Confiance dans les technologies et logiciels moins connus / documentés MAUVAISE ARCHITECTURE APPLICATIVE A RETENIR documentés Confiance dans le discours marketing de l’éditeur logiciel Développement de logiciels « maison » traitant des données sensibles Les bons réflexes Suivi des bonnes pratique de développement #8 Audit par un organisme indépendant Implication d’un expert sécurité dans le développement
  • 23. MAUVAISE GESTION DES PRIVILÈGES Supposons que le Président de la République… …se promène en scooter avec le bouton nucléaire sous le bras. iliser un compte administrateur, est aider le pirate s’il parvient à ous faire exécuter un malware Faire tourner un service réseau en « root », c’est donner les clefs de l’Entreprise à la première faille publique l’affectant Profil Utilisateur Services informatiques Bien évidemment, une telle situation créerait un tollé général. Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs! #7 …se promène en scooter avec le bouton nucléaire sous le bras. « With great power com great responsibilit (Uncle B tourner un service réseau en », donner les clefs de l’Entreprise à la première faille publique l’affectant Utiliser un compte DBA pour une application web, c’est fournir une belle porte d’entrée aux pirates vers le réseau interne informatiques Bases de données Bien évidemment, une telle situation créerait un tollé général. Pourtant, en informatique, c’est ce que font de très nombreux utilisateurs!
  • 24. Les erreurs courantes Utilisation de comptes privilégiés (Administrateur, root, etc.) MAUVAISE GESTION DES PRIVILÈGES A RETENIR (Administrateur, root, etc.) Partages et droits d’accès permissifs (Tout le monde peut lire/modifier) Les bons réflexes Utilisation systématique des privilèges minimums #7 privilèges minimums Accès autorisé aux données uniquement pour les personnes en ayant besoin
  • 25. Les plus souvent, les équipements et systèmes ne sont pas finement configurés Exemple d’un équipement en vogue : le Web Application MAUVAISES CONFIGURATIONS Par défaut, les équipements ou logiciels dédiés à la Faille de l’application web Protection par défaut ? Protection par défaut ? En entrant directement l’URL des fonctions d’administration, il est possible pour un utilisateur classique d’y accéder Non le WAF n’a aucun moyen de connaître quelle page doit être réservée à quel rôle En utilisant habilement le moteur de recherche du site institutionnel, il est possible d’afficher des données le WAF n’a aucun moyen de distinguer l’information confidentielle du reste Les plus souvent, les équipements et systèmes ne Exemple d’un équipement en vogue : le Web Application Firewall (WAF) #6 équipements ou logiciels dédiés à la sécurité… … offrent rarement une protection optimale. En utilisant habilement le moteur de recherche du site institutionnel, il est possible d’afficher des données internes au groupe Non le WAF n’a aucun moyen de distinguer l’information confidentielle du reste En changeant la valeur d’un paramètre dans l’URL (ex: « ID=1234 »), il est possible de lire les données des autres utilisateurs Non le WAF n’a aucun moyen de savoir que telle donnée est réservée à tel utilisateur
  • 26. D’autres cas malheureusement communs ne sont pas protégés par les WAF Cas réels : MAUVAISES CONFIGURATIONS 1 Etourderies, oublis, mesures temporaires, test… Utilisation du moteur de recherche sur le site institutionnel (mot clef = admin). Mot de passe retourné ! Piratage de tout le SI, des milliers de comptes personnels accessibles. Oubli d’une interface d’administration sur une machine (login = mot de passe). Accès en « live » à toute la base client (plusieurs dizaines de milliers) Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables 1 2 D’autres cas malheureusement communs ne sont Identification d’une machine de développeur accessible depuis Internet : tous les codes sources de toutes les applications du groupe en libre #6 3 test… … Autant d’invitations au vol des données ! de toutes les applications du groupe en libre service ! Dans ce code source, présence de mots de passe permettant la prise de contrôle de tout le SI du groupe. Site vitrine Français bien sécurisé, mais… l’équivalent pour l’Asie truffé de failles. Prise de contrôle du serveur asiatique, qui se trouve être relié au réseau interne de tout le groupe. Accès à des milliers de comptes. Tout le monde commet des erreurs : c’est pour cela que les phases de contrôle systématiques sont indispensables 4
  • 27. Parfois, la situation est même pire : pas de sécurité en plus, mais… de la sécurité en moins ! Ex: Lotus Domino (messagerie de type webmail) MAUVAISES CONFIGURATIONS Certains logiciels sont vulnérables à des Tout utilisateur peut consulter l’annuaire Celui-ci divulgue par défaut les mots de passe (hashés) de tous les utilisateurs Accéder à de nombreuses boîtes mail est alors aisé ! Ajuster les configurations finement est fastidieux Néanmoins, c’est une étape impérative, souvent négligée Parfois, la situation est même pire : pas de la sécurité en moins ! #6 Certains logiciels sont vulnérables à des attaques très célèbres par défaut Ajuster les configurations finement est fastidieux Néanmoins, c’est une étape impérative, souvent négligée
  • 28. Les erreurs courantes Configuration par défaut (ex : mot de passe du fabricant inchangé) MAUVAISES CONFIGURATIONS A RETENIR inchangé) Méconnaissance des fonctionnalités disponibles / activées Les bons réflexes Revue et durcissement systématique de la configuration #6 systématique de la configuration Demande d’information au fournisseur et/ou à l’installateur Désactivation des fonctionnalités non utilisées Utilisation de référentiels / guides de sécurité
  • 29. Pas de sécurité sans un solide système d’authentification… et pourtant, tellement de failles ! Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions AUTHENTIFICATION DEFAILLANTE Constat Résultat Les utilisateurs détestent les mots de passe Ils utilisent des mots de passe simples Ils les stockent n’importe comment Les informaticiens ne les aiment pas non plus ! Nos tests montrent que de nombreux services utilisent les mots de passe (Welogic Pas de sécurité sans un solide système d’authentification… et Sans même parler de failles conceptuelles, les mots de passe triviaux sont légions #5 Les informaticiens ne les aiment pas non plus ! Nos tests montrent que de nombreux services utilisent les mots de passe par défaut ! Welogic, Oracle, Tomcat, etc.) Et même avec un mot de passe solide… … Il faut s’en servir pour accéder aux données. Se servir d’un mot de passe, c’est l’exposer momentanément.
  • 30. • Bases de données (par défaut) • HTTP • LM / NTLM Attaque WPAD Historique Chiffrement inexistant/défaillant AUTHENTIFICATION DEFAILLANTE De plus, certains protocoles n’utilisent pas d’authentification du tout, ou encore une authentification non sûre • HTTP • Telnet (1969 !) • FTP • NIS / NFS • Attaque WPAD • Attaque SAMBA • Pass-the-Hash Tous ces sigles vous sont peut En effet, malgré leur sécurité parfois nulle monde entier ! NTLM / NTLM v2 WPAD • DNS DHCP Historique Pré-Historique #5De plus, certains protocoles n’utilisent pas d’authentification encore une authentification non sûre WPAD SAMBA Hash • DHCP • ARP • BGP Tous ces sigles vous sont peut-être familiers… parfois nulle, ils restent très employés, parfois par le monde entier !
  • 31. Les erreurs courantes Absence d’authentification AUTHENTIFICATION DEFAILLANTE A RETENIR Mot de passes faibles (voire triviaux) Mots de passe par défaut Stockage des mots de passe dans un fichier en clair et/ou mal protégé Les bons réflexes Authentification systématique Authentification forte (carte à puce, biométrie) si possible #5 Utilisation de phrases (avec chiffres et symboles) ou d’un outil spécialisé Changement systématique des mots de passe puce, biométrie) si possible Utilisation d’un outil spécialisé de gestion des mots de passe
  • 32. Failles applicatives ? Glissement des attaques systèmes vers des attaques applicatives Les réseaux sont de plus en plus APPLICATION WEB MAL SECURISEES Sécuriser une application web : un vrai défi ! « 75% des attaques sur le web exploitent les vulnérabilités des applications Les réseaux sont de plus en plus sécurisés Les applications elles-mêmes sont généralement plus simples à pirater • Equipements de protection pas si répandus • Les développeurs sont peu formés à la sécurité • Les méthodes de hacking applicatif circulent sur Internet OWASP Testing Guide L’OWASP est l’organisme de référence pour la sécurité des sites web #4Sécuriser une application web : un vrai défi ! 75% des attaques sur le web exploitent les vulnérabilités des applications » (Gartner). pour la sécurité des sites web Son guide de test de sécurité propose une centaine de types de test (avec de très nombreuses sous-catégories) De nombreux tests ne sont pas automatisables (contexte métier par exemple)
  • 33. Failles web : quelles conséquences ? Le vol des données : - Données des utilisateurs (mots de passe, coordonnées, etc - Données métier (en lien avec la nature du site) - Dans le cas d’applications mutualisées entre plusieurs APPLICATION WEB MAL SECURISEES ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont as significatives… En fait, elles permettent par - Dans le cas d’applications mutualisées entre plusieurs (SaaS par exemple), vol de données très diverses en une seule fois L’exécution d’actions métier (virement, création/suppression de comptes, passage d’ordre, etc.) La modification du contenu (« Defacement » par exemple) L’utilisation de votre site pour attaquer ses autres utilisateurs L’utilisation de vos systèmes pour perpétrer d’autres actions illégales Utilisation du site web comme porte d’entrée vers le réseau interne, en vue d’un piratage complet de l’entreprise Failles web : quelles conséquences ? des utilisateurs (mots de passe, coordonnées, etc.) le cas d’applications mutualisées entre plusieurs entreprises #4 Les conséquences des ntuitivement, on pourrait penser que les conséquences de ce type de faille ne sont as significatives… En fait, elles permettent par exemple : le cas d’applications mutualisées entre plusieurs entreprises ), vol de données très diverses en une seule fois (virement, création/suppression de comptes, par exemple) ses autres utilisateurs actions illégales réseau interne, Les conséquences des piratages de site web peuvent être tout aussi désastreuses pour l’entreprise que les autres formes de piratage
  • 34. Introduction Les techniques des pirates et comment s’en protéger 1 INTRODUCTION Introduction
  • 35. 1. Découverte Recherche de tous les éléments accessibles 2. Corrélation Des bases contenant toutes publiquement disponibles gratuitement MANQUES DE MISE A JOUR Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct ’outillage est en effet complètement automatisé Identification des différents types et versions (techniques de « fingerprinting ») gratuitement En entrant type et la composant, immédiatement de sécurité Corrélation de données toutes les failles publiquement connues sont sur Internet, 3. Exploitation Des codes d’attaques existent aussi sur Internet (dans certains cas, ils peuvent être payants : un marché très important #3Si vos équipements, serveurs ou applications ne sont pas tout à fait à jour, le piratage peut être direct : est en effet complètement automatisé simplement le version d’un on connaît immédiatement son niveau marché très important existe) Le piratage est alors très simple : l’utilisation d’un outil automatique ne nécessite que peu de compétences
  • 36. Tous les composants doivent être régulièrement mis à jour : une réelle organisation stricte est nécessaire Equipements / Réseau o Switchs o Routeurs o WAF o Load Balancers o Etc. Windows (Serveurs & Postes utilisateurs) MANQUES DE MISE A JOUR Systèmes / Services Applicatifs o Windows (Serveurs & Postes utilisateurs) o Linux o IIS / Apache / o iOS / Android o Bases de données o Etc. o OpenSSL o CMS : WordPress, o Navigateurs Internet o Suite Microsoft Office o Antivirus o Etc. les composants doivent être régulièrement réelle organisation stricte est nécessaire Switchs Routeurs Balancers Windows (Serveurs & Postes utilisateurs) #3 Windows (Serveurs & Postes utilisateurs) IIS / Apache / Tomcat / Weblogic / … iOS / Android Bases de données OpenSSL CMS : WordPress, Jahia, Drupal, … Navigateurs Internet Suite Microsoft Office Antivirus
  • 37. Les erreurs courantes Pas d’application des mises à jour MANQUES DE MISE A JOUR A RETENIR Utilisation de systèmes obsolètes ne recevant plus de mises à jour : Windows 95, 98, XP, NT , 2000, 2003 Mises à jours limitées aux serveurs et / ou postes de travail Les bons réflexes Mises à jour systématiques et obligatoires, voire automatiques #3 Migration des systèmes Circonscription de ceux ne pouvant l’être Identification et suivi de l’ensemble des équipements devant être mis à jour
  • 38. Un réseau interne d’entreprise présente une surface d’attaque énorme Grande surface d’attaque ? Infrastructure Windows AD Authentification LM / NTLM / NTLMv2 Postes utilisateurs Windows WPAD / RESEAUX INTERNES FACILES A PIRATER Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas Postes utilisateurs Windows WPAD / SAMBA Partages de fichiers, souvent très ouverts Services par dizaines / centaines / milliers Dizaines, centaines, voire milliers de comptes utilisateurs, et autant de mots de passe Etc. Un réseau interne d’entreprise présente une surface Et alors ? Contrairement aux tests depuis Internet, il n’y a en général pas (ou peu) de sécurité #2 Lors des tests d’intrusion de réseaux internes, nous sommes parvenus à accéder aux données confidentielles de l’entreprise dans 95% des cas n’y a en général pas (ou peu) de sécurité réseau De fait, la plupart des éléments sont accessibles Cette surface d’attaque énorme offre une telle diversité, qu’en général, toutes les attaques évoquées jusqu’ici sont potentiellement efficaces !
  • 39. RESEAUX INTERNES FACILES A PIRATER l existe tellement de possibilités de piratage, que out contrer est très difficile, surtout dans la durée Sécuriser un réseau interne est une tâche colossale De plus, le travail doit se faire constamment, impossible de le faire Tant de possibilités! #2l existe tellement de possibilités de piratage, que out contrer est très difficile, surtout dans la durée constamment, impossible de le faire « une fois pour toute » Mettre en place une surveillance est très important : si on ne peut tout bloquer, on peut souvent détecter ! Bien évidemment, cela montre que la sécurité périmétrique est très importante : le pirate ne doit pas pouvoir entrer sur le réseau interne
  • 40. Les erreurs courantes Faible niveau de protection dans le réseau interne RESEAUX INTERNES FACILES A PIRATER A RETENIR le réseau interne Absence de surveillance du réseau interne Les bons réflexes Suivi des bonnes pratiques (mises à jour, authentification, permissions, etc.) #2 permissions, etc.) Mises en place de mécanismes de détection (équipement, équipe, etc.)
  • 41. Les connexions WiFi au réseau interne peuvent aider es pirates Connexion Du matériel spécialisé permet une connexion à moyenne Attaques classiques De nombreux réseaux RESEAUX INTERNES FACILES A PIRATER une connexion à moyenne distance Un piratage est donc possible depuis l’extérieur de l’établissement visé De nombreux réseaux vulnérables à classiques et connues o WEP, o WPA mal configuré, o WPS, o portail captif au réseau interne peuvent aider Attaques classiques réseaux Wifi sont Aide des utilisateurs à leur insu ! Certains équipements créent ou se connectent automatiquement #2 réseaux Wifi sont des attaques connues : configuré, captif vulnérable se connectent automatiquement des réseaux Wifi Les utilisateurs se connecten parfois au réseau WiFi et au réseau filaire simultanément créant un pont Cas du BOYD
  • 42. Le cas particulier : le WiFi Les erreurs courantes WEP (quelle que soit la clé) WPA avec une clé trop faible RESEAUX INTERNES FACILES A PIRATER A RETENIR Pont réseau vers le réseau interne Equipements non maîtrisés (créent ou se connectent aux réseaux WiFi) Les bons réflexes WPA2 avec une clé complexe renouvelée régulièrement ou une authentification par certificat #2 Isolation du réseau interne des machines connectées au WiFi Revue systématique de la configuration Désactivation des réseaux non utilisés
  • 43. Introduction Les techniques des pirates et comment s’en protéger 3 JOKER Introduction
  • 44. Méthodes classiques INGENIERIE SOCIALE Lorsque les attaques purement techniques échouent, ou orsque les pirates ne craignent pas la détection, ils attaquent le maillon humain Pièges par e-mail Appels téléphoniques Don de matériel piégé Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne Leviers de manipulation mentale “Le cerveau humain est comme un OS sans firewall” #1Lorsque les attaques purement techniques échouent, ou orsque les pirates ne craignent pas la détection, ils sans firewall” Cupidité (offres promotionnelles, appât du gain) Idéologie (combats politiques, religieux, etc.) Menaces / Intimidation / Pression Ego (mise au défi) Etc. Comme pour les réseaux internes, la surface d’attaque est relativement grande… et souvent, il suffit d’une seule personne
  • 45. Exemple #1 : Ingénierie sociale par Envoi de chevaux de Troie Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet Méthodologie en 3 INGENIERIE SOCIALE Connexion à la boîte e Analyse des informations techniques dérobées (« cracking du hash du mot de passe Prise de contrôle du poste de la victime Méthodologie en 3 phases employée habituellement lors de nos tests d’intrusion via social engineering Exemple #1 : Ingénierie sociale par e-mail Envoi de chevaux de Troie Depuis une adresse quelconque, à destination d’adresses du groupe cible récoltées sur Internet #1 Connexion à la boîte e-mail cible Analyse des informations techniques dérobées cracking du hash du mot de passe ») Connexion à la boîte cible via webmail Attaque interne Prise de contrôle du poste de la victime Utilisation du poste de la victime pour attaquer l’annuaire interne et extraire les hashs des mots de passe « Windows Active Directory »
  • 46. La méfiance à l’égard des mails n’est finalement pas si Résultat : succès global quasi systématique Téléchargement du faux formulaire INGENIERIE SOCIALE Exécution du cheval de Troie du faux formulaire A ce niveau, le pirate a déjà un pied dans l’entreprise visée La méfiance à l’égard des mails n’est finalement pas si grande systématique 61,23% Téléchargement du faux formulaire #1 31,70% 0% 20% 40% 60% 80% 100% Exécution du cheval de Troie du faux formulaire A ce niveau, le pirate a déjà un pied dans l’entreprise visée
  • 47. Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre : INGENIERIE SOCIALE Le niveau de sensibilisation moyen est faible #1 Certains utilisateurs n’hésitent pas à demander des précisions au sujet de l’offre : Le niveau de sensibilisation moyen est faible Autres anecdotes : Transmission de l’offre à des amis Multiples exécutions du cheval de Troie Envoi de données confidentielles non sollicitées Etc.
  • 48. Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande Voler des données (très) confidentielles est alors aisé Quelques exemples de données récupérées : Documents techniques (mots de passe !) INGENIERIE SOCIALE Données commerciales (ventes, futurs appels d’offres) Données personnelles (mails, agendas, photos, scans de documents administratifs) Grille des salaires Documents métier, etc. Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent. Les réseaux internes sont souvent simples à pirater (surface d’attaque très grande) des données (très) confidentielles est alors aisé Remarques : Les anti-virus sont souvent aveugles dès lors que l’attaque n’est pas une attaque #1 lors que l’attaque n’est pas une attaque connue (signature référencée) A nouveau, attention au faux sentiment de sécurité ! Il est très rare qu’une entreprise résiste à ce type d’attaque, notamment si le pirate est bien préparé et compétent.
  • 49. La voix humaine est un atout pour mettre la victime en confiance Exemple #2 : Ingénierie sociale par téléphone But de l’exercice / Scénario INGENIERIE SOCIALE • But : Récupérer le mot de passe de l’utilisateur (accès webmail par exemple) • Exemples de scénarios utilisés : • Fausse migration de la messagerie • Mise en place d’une fausse nouvelle application de réseau social • Création d’une fausse base documentaire interne La voix humaine est un atout pour mettre la victime en confiance #2 : Ingénierie sociale par téléphone Résultats #1 Bien que les appels aient été effectués depuis une ligne externe, le vol d’information a été un grand succès : • 343 appels téléphoniques • 166 mots de passe récupérés (48,4%)
  • 50. Des réactions parfois surprenantes • « Ne vous en faites pas, je dirige ce département et j’avertis qu’une migration est en cours : tout le monde vous donnera son mot de passe. » • « Mon collègue est absent, mais je connais son mot Morceaux choisis INGENIERIE SOCIALE • « Mon collègue est absent, mais je connais son mot de passe, je vous le donne également. » • « Je ne vous donne pas mon mot de passe Windows, c’est interdit ! Mais voici mon mot de passe e-mail… » • « C’est interdit de donner son mot de passe, mais je n’ai pas envie de subir une coupure mail, donc le voici ! » A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats ! et le mot Pour les rares cas où la personne refuse catégoriquement, pour éviter que l’alerte ne En cas de refus… #1 mot passe de mais le catégoriquement, pour éviter que l’alerte ne soit donnée, plusieurs méthodes sont envisageables. Par exemple, on explique que dans ce cas, le mot de passe va être réinitialisé, et on donne à la personne un (faux) nouveau mot de passe qu’elle doit « bien noter ». A noter, des campagnes de ce type ont été effectuées quelques semaines après une étape de sensibilisation interne… avec les mêmes résultats !
  • 51. Les erreurs courantes Manque d’information des INGENIERIE SOCIALE A RETENIR Manque d’information des utilisateurs Ignorance ou refus des risques liés au facteur humain Les bons réflexes Sensibilisations régulières #1 Sensibilisations régulières Campagnes d’informations Campagnes de test Analyse des risques encourus
  • 52. Les techniques des pirates et comment s’en protéger 4 Recommandations & Conclusions
  • 53. ue faire ? Développement : attention, si de mauvais choix structurels affectent les applications utilisées, leur sécurisation peut être quasi-impossible ! De plus attention aux applications web, véritables nids de failles. Equipements de sécurité : Leur mmandations Technique Equipements de sécurité : Leur simple présence n’ajoute que peu de sécurité. Un paramétrage fin et adapté au contexte est nécessaire. C’est un travail long, parfois complexe, mais indispensable. Ne pas négliger la sécurité du réseau interne : la probabilité qu’un pirate s’y retrouve connecté est très forte (notamment dans les grands groupes) Surveillance : S’il est difficile d’empêcher toute attaque de réussir, a minima, il faut pouvoir la détecter le plus vite possible pour la neutraliser Afin de réduire les risques de vols de données suite à des erreurs humaines, il est fortement conseillé de mettre en place des campagnes de sensibilisations répétées des utilisateurs. Différents type de support existent : Humain Différents type de support existent : affiches, communication par messagerie, e-learning, séance de sensibilisation.
  • 54. ue faire ? Maîtriser la sécurité d’un équipement ou de logiciels que vous vous procurez n’est pas forcément chose aisée N’hésitez pas à inclure dans vos contrats des clauses liées à la sécurité Ces clauses peuvent par exemple mmandations Prestataires / Vendeurs Ces clauses peuvent par exemple demander au fournisseur de s’engager sur une liste de points de contrôle sécurité Faites jouer la concurrence si un prestataire donné s’y refuse ! Afin d’amener la sécurité d’un périmètre informatique à un niveau correct, certaines actions peuvent être entreprises pour un coût très modique : Création d’une charte informatique Même sans grand budget Mise en place d’une politique de mots de passe décente Fermeture à clef systématique des locaux sensibles Elaboration de fiches de réaction face à un incident (virus, intrus, piratage, email suspect, etc.) Campagnes de sensibilisation simples (affiches à la machine à café, mails réguliers, etc.)
  • 55. ue faire ? mmandations Guides officiels : Guides publiés : Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaire et médico-social - Structure sans approche SSI Règles pour les dispositifs connectés d’un Système d’Information de Référentiel d’authentification des acteurs de Référentiel d’imputabilité Guide pratique spécifique pour la mise en place d’un accèsGuide pratique spécifique pour la mise en place d’un accès Guides en cours d’élaboration : Guide pour la gestion des habilitations d’accès Gestion des événements sécurité Guide en concertation : Règles pour la mise en place d’un accès web au SIS pour des Les documents publiés sont disponibles dans l’espace publication de la PGSSI http://esante.gouv.fr/pgssi-s/espace-publication Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI http://esante.gouv.fr/pgssi-s/espace-concertation Les documents en cours d’élaboration seront mis en concertation courant 2016 d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs Structure sans approche SSI formalisée Règles pour les dispositifs connectés d’un Système d’Information de Santé Référentiel d’authentification des acteurs de santé Guide pratique spécifique pour la mise en place d’un accès WifiGuide pratique spécifique pour la mise en place d’un accès Wifi pour la gestion des habilitations d’accès Règles pour la mise en place d’un accès web au SIS pour des tiers Les documents publiés sont disponibles dans l’espace publication de la PGSSI-S : publication Les documents en concertation sont disponibles dans l’espace concertation de la PGSSI-S : concertation Les documents en cours d’élaboration seront mis en concertation courant 2016
  • 56. onclusions Un retour d’expérience pessimiste ? Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Pour rappel : « 80 % de la cybercriminalité est liée des bandes organisées financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne ue faire ? financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne (Interpol) Ne sous-estimez pas la menace. Ne surestimez pas votre niveau de sécurité. Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise http://esante.gouv.fr/services/referentiels/securite/pgssi Nos audits démontrent souvent qu’il est possible de dérober des données confidentielles aux entreprises : est-ce représentatif ? Un argument souvent employé pour expliquer nos résultats consiste à dire que le pirate moyen n’a pas le niveau technique requis. Cet argument est illusoire. des bandes organisées transfrontalières et représente un coût plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne »plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne » estimez pas la menace. Ne surestimez pas votre niveau de sécurité. Nous sommes à votre disposition : soyez pragmatiques, testez le niveau de sécurité informatique réel de votre entreprise http://esante.gouv.fr/services/referentiels/securite/pgssi