La sécurité informatique pour une petite équipe

512 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
512
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité informatique pour une petite équipe

  1. 1. LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013 Geeks Anonymes
  2. 2. LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013 Geeks Anonymes « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » (http://www.clusif.asso.fr)
  3. 3. Responsable IT dans une petite structure ... ? (c) Pierre-Olivier Bourge 2013 users parc machines responsable sécurité IT admin système admin réseau m aintenance helpdesk pc, mac, linux brancher les PCs ... OSes scripts et que sais-je encore ... analyse de risques réseau Geek needed ? time ressources “chef de projet” “développeur”
  4. 4. La  sécurité  ? pour  les  autres  ? Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
  5. 5. “ 60 % des cas sont liés à de l’espionnage industriel ! ” Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013) Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf La  sécurité   informa3que  ? 100% security is neither feasible nor the appropriate goal (Source : KPMG.nl) Cyber security will never be “solved” but will be “managed” (Source : Ravi Sandhu - UTSA Institute for Cyber Security) (c) Pierre-Olivier Bourge 2013
  6. 6. La  sécurité  ? faut-­‐il  être  parano  pour  autant  ? non  ...  mais  ne  soyez  pas  naïf  ! véridique ! Van Eck phreaking
  7. 7. La  sécurité  ? connaissez-­‐vous   ceci  ? Et ses implications ... ?! Patriot Act
  8. 8. La  sécurité  ? Patriot A ct
  9. 9. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement IT (c) Pierre-Olivier Bourge 2013
  10. 10. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement Sécurité Informatique (c) Pierre-Olivier Bourge 2013 99% of the attacks are thwarted by basic hygiene and some luck 1% of the attacks are difficult and expensive to defend or detect Encore faut-il savoir ce que l’on a à protéger ... Control,  monitor,   and  log  all  access  to   protected  assets
  11. 11. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement Sécurité Informatique (c) Pierre-Olivier Bourge 2013 Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? Patriot Act Cloud S’assurer  que  tout  changement  du  système  ne  reme4e  pas  en   cause  les  mesures  de  sécurité  établies  pour  protéger  le  patrimoine
  12. 12. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement (c) Pierre-Olivier Bourge 2013 Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? Sécurité Informatique maillon le plus faible ! Effective cyber security is less dependent on technology than you think (KPMG.nl)
  13. 13. Types  de  risques Sécurité IT • Où / quels sont les risques ? peu importe Vulnerability = leaving your car unlocked Exposure = thief identifies this and opens the door. Risk factor will increase if either factor is changed (e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.) Risk = Vulnerability * Exposure - Security
  14. 14. Types  de  risques Sécurité IT • Où / quels sont les risques ? peu importe Décider : 1) ce qu’il y a à protéger 2) de quoi ? 3) comment ? Mode : sécurité par défaut Risk = Vulnerability * Exposure - Security
  15. 15. Bâtiment, bureaux, armoires, câbles, ... Types  de  risques port USB : vol de données ? (juice jacking) BYOD = BYOD
  16. 16. Sécurité physique : Chiffrement (“cryptage”) • depuis l’antiquité • “masque jetable” (sécurité inconditionnelle = théoriquement incassable) ★ combiné à MQ • symétrique / asymétrique ★ DES,Triple DES,AES, ... (symétrique), RSA, ... (asymétrique) • problème : ★ générer clef réellement aléatoire (S/N) [phénomènes physiques] ★ transmettre la clef [valises diplomatiques] (c) Pierre-Olivier Bourge 2013
  17. 17. Sécurité physique : Chiffrement (“cryptage”) • Mac OS X : FileVault 2 • Toutes plateformes :TrueCrypt www.truecrypt.org HD ou contenant ... • Windows : No, No, No ! • Attention à la gestion de la clef ! (c) Pierre-Olivier Bourge 2013 Types  de  risques  :  “physique”  ...
  18. 18. • PCs/Macs : TrueCrypt / FileVault • emails : TrueCrypt / OpenPGP / SSL • protocoles sécurisés : https / ssh (c) Pierre-Olivier Bourge 2013 Sécurité physique : Chiffrement (“cryptage”) Types  de  risques  :  “écoute”  ...
  19. 19. Sécurité physique : Effacement sécurisé • Mac OS X : intégré OS (cmd+empty trash) • Linux : srm,Wipe, etc. • Windows : utilitaires Cf. Eraser, CCleaner, SDelete, Piriform, etc. (c) Pierre-Olivier Bourge 2013 Types  de  risques  :  “après”  ...
  20. 20. Sécurité physique : Effacement sécurisé ?
  21. 21. Bâtiment, bureaux, armoires, câbles, ... Types  de  risques
  22. 22. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... (hardware, software) Types  de  risques • Connexions entrantes s + sortantes, • plusieurs routeurs / parefeux en série (différentes configurations) • plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA) • connexion externe :“min” • DMZ, IDS, etc.
  23. 23. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, VirusBarrier, Sophos,Avira, McAfee,Avast!, ... Types  de  risques A5en6on  !  On  ne  joue  pas  !
  24. 24. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... access rights (users & machines), security logs, ... Types  de  risques • No root ! • user is not admin •“least privilege” • BYOD = services, ports, accès, ... : à fermer • serveurs virtuels • Security Onion
  25. 25. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... Vous ! Types  de  risques humain = le plus difficile car le plus imprévisible
  26. 26. Vous = humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT e.g. : 5 lettres ou 2 mots du dictionnaire accolés
  27. 27. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations
  28. 28. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations • informations sensibles • apprendre à identifier les risques communs • que faire ? comment gérer les informations sensibles ? • changement de comportement
  29. 29. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations • “a password is the first gateway to security breaches” • types d’attaques communes • comment générer un bon mot de passe • comment retenir ses mots de passe ? • le BYOD = BYOD
  30. 30. Confidentialité Mots de passe Complexité / Changement régulier Plusieurs ! idéalement un et un seul pour chaque usage un mot de passe hacké est une faille ! ... et s’il donne accès à tout ... Non accessible par ailleurs !
  31. 31. Comment  mémoriser  ? 1) fichier ou partition cryptés règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe 2) outil Norton (ou Keychain Access sur Mac) Comment mémoriser de manière sécurisée ? (c) Pierre-Olivier Bourge 2013
  32. 32. Types  d’aCaques  sur   les  mots  de  passe 1) problème n’est pas tellement à l’identification lors d’une connexion si • protocole : sécurisé • parefeu et services : bien configurés => bloqué 2) problème est plutôt : • hacker : faille, accès aux clefs/mots de passe sécurisés ? • combien de temps pour les casser ? Attaques : où est le problème ? (c) Pierre-Olivier Bourge 2013 Petite leçon sur le stockage (hachage) des mots de passe dans les ordinateurs
  33. 33. (c) Pierre-Olivier Bourge 2013 Stockage  mots  de   passe Hash hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD,Whirpool, etc.
  34. 34. Types  d’aCaques  sur   les  mots  de  passe1) par force brute teste toutes les combinaisons [exemple : HpAhTbd6nWx6cCDK] parade : augmenter la longueur du mot de passe (> 8 !) 2) par dictionnaire teste les noms communs ou propres, ou les mots de passe les plus courants [exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...] parade : éviter les noms communs ou propres, les mots avec un sens courant 3) par substitution ou insertion teste des noms substitués ou insérés [exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...] parade : éviter les substitutions et les insertions à partir de noms ou de mots courants 4) par séquence ou inversion de séquences teste par les séries de chiffres, de caractères [exemple : 123456, abc123, drow (word), ...] parade : à éviter absolument (c) Pierre-Olivier Bourge 2013
  35. 35. Mots de passe (exemples) : 4031 carre Picarré hzs!Y%2v ACaques  (force  brute) Temps maximum pour casser (en force brute) instantané ! 1/100ème seconde ! 3 minutes 6 heures Constante évolution : Hz , CPU => GPU (c) Pierre-Olivier Bourge 2013 8 caractères aléatoires (Windows XP) en 6 heures pour un hacker ! et c’est même pire ... : e.g. tables arc-en-ciel, etc.
  36. 36. News  NSA  ? La  NSA  peut  décoder  tout  type  de  communica9on  chiffrée  ? Quelques  chiffres  de  puissance  de  calcul  à  l’heure  actuelle  ... CPUs GFlops X 8 alea (Windows) Lenovo 2-Core Mac 4-Core Top 1-GPU Hacker 25-GPU SETI BOINC Tianhe-2 3 1 20 d 7 2 10 d 8 3 160 h 175 60 8 h 600.000 200.000 9 s 10.000.000 3.300.000 0,5 s 35.000.000 11.000.000 0,1 s GFlops days / hours / secondsdays / hours / seconds Hash (c) Pierre-Olivier Bourge 2013
  37. 37. Types  d’aCaques 5) par séquence au clavier teste des suites logiques au clavier [exemple : azerty, azeswxc, vgyrgb, ...] parade : éviter les substitutions à partir de noms 6) par répétition teste les répétitions [exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)] parade : à éviter (n’apporte rien, augmente le signal dans l’encryption) 7) par ruse vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe [exemple : phishing (hameçonnage), attaque “sociale”, ...] parade : vérifier votre connexion à un site sécurisé, ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ... 8) par virus un virus, ver, cheval de troie, etc. ouvre une faille dans le système [exemple : un fichier corrompu, un programme piraté, keylogger, etc.] parade : mettre à jour votre anti-virus (fait le reste) éviter comportements à risque (téléchargements, phishing, etc.) (c) Pierre-Olivier Bourge 2013
  38. 38. Types  d’aCaques 9) par ... etc. attaques par tables arc-en-ciels, “temporelle”, analyse statistiques, surchiffrement, man-in-the-middle, etc. parade : the ability to learn is just as important as the ability to monitor (KPMG.nl) (c) Pierre-Olivier Bourge 2013
  39. 39. En conclusion • Sécurité ★ affaire de tous & pas que IT ★ technique + moi + les autres ★ humain : sensibilisation & éducation ★ vigilance, veille constante ★ évaluer les risques ★ pas parano ... mais pas naïf ... (c) Pierre-Olivier Bourge 2013 The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl)
  40. 40. Annexes (c) Pierre-Olivier Bourge 2013 • Comment trouver un bon mot de passe ★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...) ★ mnémotechnique (pseudo-aléatoire) ★ générateurs aléatoires (vrai = source de bruit) : random.org ★ générateurs pseudo-aléatoires (algorithmes)
  41. 41. Types  de  mots  de   passe 1) aléatoire brut la meilleure combinaison exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5( règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués 2) phrase mnémotechnique pas loin de l’aléatoire brut lorsque suffisamment longue exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK) règle : initiales des mots, insérer chiffres, ponctuations, etc. Types (c) Pierre-Olivier Bourge 2013
  42. 42. Types  de  mots  de   passe 3) coller quelques mots + fautes, substitutions exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri NOK ! Attaque par dictionnaire et substitution 4) style SMS trop variable : si très condensé OK si phrase longue mais sinon ... ? Bof ! Attaque par dictionnaire et substitution Types (c) Pierre-Olivier Bourge 2013
  43. 43. Types  de  mots  de   passe 5) clef cryptographique commune exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a OK à Bof ! Force brute puis décode tout facilement ... Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8) 6) se méfier des sites non professionnels exemple : le site références Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ? Types (c) Pierre-Olivier Bourge 2013

×