LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Ge...
LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Ge...
Responsable IT dans
une petite structure ... ?
(c) Pierre-Olivier Bourge 2013
users
parc machines
responsable
sécurité IT
...
La	
  sécurité	
  ?
pour	
  les	
  autres	
  ?
Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
“ 60 % des cas sont liés à de l’espionnage industriel ! ”
Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises d...
La	
  sécurité	
  ?
faut-­‐il	
  être	
  parano	
  pour	
  autant	
  ?
non	
  ...	
  mais	
  ne	
  soyez	
  pas	
  naïf	
 ...
La	
  sécurité	
  ?
connaissez-­‐vous	
  
ceci	
  ?
Et ses implications ... ?!
Patriot Act
La	
  sécurité	
  ?
Patriot
A
ct
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
IT
(c) Pierre-Olivier Bourge ...
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
Sécurité Informatique
(c) Pie...
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
Sécurité Informatique
(c) Pie...
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
(c) Pierre-Olivier Bourge 201...
Types	
  de	
  risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Vulnerability = leaving your car unlocked
E...
Types	
  de	
  risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Décider :
1) ce qu’il y a à protéger
2) de ...
Bâtiment, bureaux, armoires,
câbles, ...
Types	
  de	
  risques
port USB : vol de données ?
(juice jacking)
BYOD = BYOD
Sécurité physique :
Chiffrement (“cryptage”)
• depuis l’antiquité
• “masque jetable” (sécurité inconditionnelle = théoriqu...
Sécurité physique :
Chiffrement (“cryptage”)
• Mac OS X : FileVault 2
• Toutes plateformes :TrueCrypt
www.truecrypt.org
HD...
• PCs/Macs : TrueCrypt / FileVault
• emails : TrueCrypt / OpenPGP / SSL
• protocoles sécurisés : https / ssh
(c) Pierre-Ol...
Sécurité physique :
Effacement sécurisé
• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm,Wipe, etc.
• Windows : uti...
Sécurité
physique :
Effacement
sécurisé ?
Bâtiment, bureaux, armoires,
câbles, ...
Types	
  de	
  risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
(hardware, software)
Types	
  de	
  risques
• Connexions entrant...
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav,
VirusBarrier, Sophos,Avira,
McAfee,A...
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
access righ...
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
Vous !
Type...
Vous = humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
e.g. ...
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-O...
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-O...
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-O...
Confidentialité
Mots de passe
Complexité / Changement régulier
Plusieurs !
idéalement un et un seul pour chaque usage
un mo...
Comment	
  mémoriser	
  ?
1) fichier ou partition cryptés
règle : avoir un bon mot de passe principal
avoir une bonne encry...
Types	
  d’aCaques	
  sur	
  
les	
  mots	
  de	
  passe
1) problème n’est pas tellement à l’identification lors
d’une conn...
(c) Pierre-Olivier Bourge 2013
Stockage	
  mots	
  de	
  
passe
Hash
hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-51...
Types	
  d’aCaques	
  sur	
  
les	
  mots	
  de	
  passe1) par force brute
teste toutes les combinaisons
[exemple : HpAhTb...
Mots de passe (exemples) :
4031
carre
Picarré
hzs!Y%2v
ACaques	
  (force	
  brute)
Temps maximum pour
casser (en force bru...
News	
  NSA	
  ?
La	
  NSA	
  peut	
  décoder	
  tout	
  type	
  de	
  communica9on	
  chiffrée	
  ?
Quelques	
  chiffres	
 ...
Types	
  d’aCaques
5) par séquence au clavier
teste des suites logiques au clavier
[exemple : azerty, azeswxc, vgyrgb, ......
Types	
  d’aCaques
9) par ... etc.
attaques par
tables arc-en-ciels,
“temporelle”,
analyse statistiques,
surchiffrement,
m...
En conclusion
• Sécurité
★ affaire de tous & pas que IT
★ technique + moi + les autres
★ humain : sensibilisation & éducat...
Annexes
(c) Pierre-Olivier Bourge 2013
• Comment trouver un bon mot de passe
★ aléatoire pur (longueur, min, MAJ, ^`, ($@,...
Types	
  de	
  mots	
  de	
  
passe
1) aléatoire brut
la meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kn...
Types	
  de	
  mots	
  de	
  
passe
3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitéprix => Ma...
Types	
  de	
  mots	
  de	
  
passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M
=> Banque...
Prochain SlideShare
Chargement dans…5
×

La sécurité informatique pour une petite équipe

548 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
548
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité informatique pour une petite équipe

  1. 1. LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013 Geeks Anonymes
  2. 2. LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013 Geeks Anonymes « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » (http://www.clusif.asso.fr)
  3. 3. Responsable IT dans une petite structure ... ? (c) Pierre-Olivier Bourge 2013 users parc machines responsable sécurité IT admin système admin réseau m aintenance helpdesk pc, mac, linux brancher les PCs ... OSes scripts et que sais-je encore ... analyse de risques réseau Geek needed ? time ressources “chef de projet” “développeur”
  4. 4. La  sécurité  ? pour  les  autres  ? Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
  5. 5. “ 60 % des cas sont liés à de l’espionnage industriel ! ” Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013) Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf La  sécurité   informa3que  ? 100% security is neither feasible nor the appropriate goal (Source : KPMG.nl) Cyber security will never be “solved” but will be “managed” (Source : Ravi Sandhu - UTSA Institute for Cyber Security) (c) Pierre-Olivier Bourge 2013
  6. 6. La  sécurité  ? faut-­‐il  être  parano  pour  autant  ? non  ...  mais  ne  soyez  pas  naïf  ! véridique ! Van Eck phreaking
  7. 7. La  sécurité  ? connaissez-­‐vous   ceci  ? Et ses implications ... ?! Patriot Act
  8. 8. La  sécurité  ? Patriot A ct
  9. 9. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement IT (c) Pierre-Olivier Bourge 2013
  10. 10. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement Sécurité Informatique (c) Pierre-Olivier Bourge 2013 99% of the attacks are thwarted by basic hygiene and some luck 1% of the attacks are difficult and expensive to defend or detect Encore faut-il savoir ce que l’on a à protéger ... Control,  monitor,   and  log  all  access  to   protected  assets
  11. 11. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement Sécurité Informatique (c) Pierre-Olivier Bourge 2013 Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? Patriot Act Cloud S’assurer  que  tout  changement  du  système  ne  reme4e  pas  en   cause  les  mesures  de  sécurité  établies  pour  protéger  le  patrimoine
  12. 12. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement (c) Pierre-Olivier Bourge 2013 Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? Sécurité Informatique maillon le plus faible ! Effective cyber security is less dependent on technology than you think (KPMG.nl)
  13. 13. Types  de  risques Sécurité IT • Où / quels sont les risques ? peu importe Vulnerability = leaving your car unlocked Exposure = thief identifies this and opens the door. Risk factor will increase if either factor is changed (e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.) Risk = Vulnerability * Exposure - Security
  14. 14. Types  de  risques Sécurité IT • Où / quels sont les risques ? peu importe Décider : 1) ce qu’il y a à protéger 2) de quoi ? 3) comment ? Mode : sécurité par défaut Risk = Vulnerability * Exposure - Security
  15. 15. Bâtiment, bureaux, armoires, câbles, ... Types  de  risques port USB : vol de données ? (juice jacking) BYOD = BYOD
  16. 16. Sécurité physique : Chiffrement (“cryptage”) • depuis l’antiquité • “masque jetable” (sécurité inconditionnelle = théoriquement incassable) ★ combiné à MQ • symétrique / asymétrique ★ DES,Triple DES,AES, ... (symétrique), RSA, ... (asymétrique) • problème : ★ générer clef réellement aléatoire (S/N) [phénomènes physiques] ★ transmettre la clef [valises diplomatiques] (c) Pierre-Olivier Bourge 2013
  17. 17. Sécurité physique : Chiffrement (“cryptage”) • Mac OS X : FileVault 2 • Toutes plateformes :TrueCrypt www.truecrypt.org HD ou contenant ... • Windows : No, No, No ! • Attention à la gestion de la clef ! (c) Pierre-Olivier Bourge 2013 Types  de  risques  :  “physique”  ...
  18. 18. • PCs/Macs : TrueCrypt / FileVault • emails : TrueCrypt / OpenPGP / SSL • protocoles sécurisés : https / ssh (c) Pierre-Olivier Bourge 2013 Sécurité physique : Chiffrement (“cryptage”) Types  de  risques  :  “écoute”  ...
  19. 19. Sécurité physique : Effacement sécurisé • Mac OS X : intégré OS (cmd+empty trash) • Linux : srm,Wipe, etc. • Windows : utilitaires Cf. Eraser, CCleaner, SDelete, Piriform, etc. (c) Pierre-Olivier Bourge 2013 Types  de  risques  :  “après”  ...
  20. 20. Sécurité physique : Effacement sécurisé ?
  21. 21. Bâtiment, bureaux, armoires, câbles, ... Types  de  risques
  22. 22. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... (hardware, software) Types  de  risques • Connexions entrantes s + sortantes, • plusieurs routeurs / parefeux en série (différentes configurations) • plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA) • connexion externe :“min” • DMZ, IDS, etc.
  23. 23. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, VirusBarrier, Sophos,Avira, McAfee,Avast!, ... Types  de  risques A5en6on  !  On  ne  joue  pas  !
  24. 24. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... access rights (users & machines), security logs, ... Types  de  risques • No root ! • user is not admin •“least privilege” • BYOD = services, ports, accès, ... : à fermer • serveurs virtuels • Security Onion
  25. 25. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... Vous ! Types  de  risques humain = le plus difficile car le plus imprévisible
  26. 26. Vous = humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT e.g. : 5 lettres ou 2 mots du dictionnaire accolés
  27. 27. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations
  28. 28. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations • informations sensibles • apprendre à identifier les risques communs • que faire ? comment gérer les informations sensibles ? • changement de comportement
  29. 29. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations • “a password is the first gateway to security breaches” • types d’attaques communes • comment générer un bon mot de passe • comment retenir ses mots de passe ? • le BYOD = BYOD
  30. 30. Confidentialité Mots de passe Complexité / Changement régulier Plusieurs ! idéalement un et un seul pour chaque usage un mot de passe hacké est une faille ! ... et s’il donne accès à tout ... Non accessible par ailleurs !
  31. 31. Comment  mémoriser  ? 1) fichier ou partition cryptés règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe 2) outil Norton (ou Keychain Access sur Mac) Comment mémoriser de manière sécurisée ? (c) Pierre-Olivier Bourge 2013
  32. 32. Types  d’aCaques  sur   les  mots  de  passe 1) problème n’est pas tellement à l’identification lors d’une connexion si • protocole : sécurisé • parefeu et services : bien configurés => bloqué 2) problème est plutôt : • hacker : faille, accès aux clefs/mots de passe sécurisés ? • combien de temps pour les casser ? Attaques : où est le problème ? (c) Pierre-Olivier Bourge 2013 Petite leçon sur le stockage (hachage) des mots de passe dans les ordinateurs
  33. 33. (c) Pierre-Olivier Bourge 2013 Stockage  mots  de   passe Hash hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD,Whirpool, etc.
  34. 34. Types  d’aCaques  sur   les  mots  de  passe1) par force brute teste toutes les combinaisons [exemple : HpAhTbd6nWx6cCDK] parade : augmenter la longueur du mot de passe (> 8 !) 2) par dictionnaire teste les noms communs ou propres, ou les mots de passe les plus courants [exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...] parade : éviter les noms communs ou propres, les mots avec un sens courant 3) par substitution ou insertion teste des noms substitués ou insérés [exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...] parade : éviter les substitutions et les insertions à partir de noms ou de mots courants 4) par séquence ou inversion de séquences teste par les séries de chiffres, de caractères [exemple : 123456, abc123, drow (word), ...] parade : à éviter absolument (c) Pierre-Olivier Bourge 2013
  35. 35. Mots de passe (exemples) : 4031 carre Picarré hzs!Y%2v ACaques  (force  brute) Temps maximum pour casser (en force brute) instantané ! 1/100ème seconde ! 3 minutes 6 heures Constante évolution : Hz , CPU => GPU (c) Pierre-Olivier Bourge 2013 8 caractères aléatoires (Windows XP) en 6 heures pour un hacker ! et c’est même pire ... : e.g. tables arc-en-ciel, etc.
  36. 36. News  NSA  ? La  NSA  peut  décoder  tout  type  de  communica9on  chiffrée  ? Quelques  chiffres  de  puissance  de  calcul  à  l’heure  actuelle  ... CPUs GFlops X 8 alea (Windows) Lenovo 2-Core Mac 4-Core Top 1-GPU Hacker 25-GPU SETI BOINC Tianhe-2 3 1 20 d 7 2 10 d 8 3 160 h 175 60 8 h 600.000 200.000 9 s 10.000.000 3.300.000 0,5 s 35.000.000 11.000.000 0,1 s GFlops days / hours / secondsdays / hours / seconds Hash (c) Pierre-Olivier Bourge 2013
  37. 37. Types  d’aCaques 5) par séquence au clavier teste des suites logiques au clavier [exemple : azerty, azeswxc, vgyrgb, ...] parade : éviter les substitutions à partir de noms 6) par répétition teste les répétitions [exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)] parade : à éviter (n’apporte rien, augmente le signal dans l’encryption) 7) par ruse vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe [exemple : phishing (hameçonnage), attaque “sociale”, ...] parade : vérifier votre connexion à un site sécurisé, ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ... 8) par virus un virus, ver, cheval de troie, etc. ouvre une faille dans le système [exemple : un fichier corrompu, un programme piraté, keylogger, etc.] parade : mettre à jour votre anti-virus (fait le reste) éviter comportements à risque (téléchargements, phishing, etc.) (c) Pierre-Olivier Bourge 2013
  38. 38. Types  d’aCaques 9) par ... etc. attaques par tables arc-en-ciels, “temporelle”, analyse statistiques, surchiffrement, man-in-the-middle, etc. parade : the ability to learn is just as important as the ability to monitor (KPMG.nl) (c) Pierre-Olivier Bourge 2013
  39. 39. En conclusion • Sécurité ★ affaire de tous & pas que IT ★ technique + moi + les autres ★ humain : sensibilisation & éducation ★ vigilance, veille constante ★ évaluer les risques ★ pas parano ... mais pas naïf ... (c) Pierre-Olivier Bourge 2013 The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl)
  40. 40. Annexes (c) Pierre-Olivier Bourge 2013 • Comment trouver un bon mot de passe ★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...) ★ mnémotechnique (pseudo-aléatoire) ★ générateurs aléatoires (vrai = source de bruit) : random.org ★ générateurs pseudo-aléatoires (algorithmes)
  41. 41. Types  de  mots  de   passe 1) aléatoire brut la meilleure combinaison exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5( règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués 2) phrase mnémotechnique pas loin de l’aléatoire brut lorsque suffisamment longue exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK) règle : initiales des mots, insérer chiffres, ponctuations, etc. Types (c) Pierre-Olivier Bourge 2013
  42. 42. Types  de  mots  de   passe 3) coller quelques mots + fautes, substitutions exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri NOK ! Attaque par dictionnaire et substitution 4) style SMS trop variable : si très condensé OK si phrase longue mais sinon ... ? Bof ! Attaque par dictionnaire et substitution Types (c) Pierre-Olivier Bourge 2013
  43. 43. Types  de  mots  de   passe 5) clef cryptographique commune exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a OK à Bof ! Force brute puis décode tout facilement ... Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8) 6) se méfier des sites non professionnels exemple : le site références Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ? Types (c) Pierre-Olivier Bourge 2013

×