Régis LE GUENNEC
@regisleguennec
Sécurité numérique
Cyber attaque, comment se protéger?
Historique, vocabulaire, motivations, risques, techniques et protec...
« Or, c'est dans la conscience de son présent que
l'individu se construit, pas en le fuyant »
Daniel Pennac
« La sécurité est un voyage, pas une destination »
Bernard Ourghanlian (Microsoft)
CYBERCRIMINEL
CYBERCRIMINALITE
• Facile à faire
• Mondial
• Efficace
• Organisé
• Risque réduit
• Profitable
Qui est concerné ?
STATIONS DE TRAVAIL
SERVEURS ET DATACENTER
EQUIPEMENT RESEAU
WIFI
SMARTPHONE
OBJETS CONNECTES
DRONE
SMARTCAR
SMARTCITY
INCROYABLE x5
• Estonie
• Vol 5022
• Réseau électrique
• Centrale nucléaire Iranienne
• Sony Pictures
ESTONIE
Tallinn, capitale de l’Estonie
Soldat de bronze
A partir du 27 avril 2007, et pendant 4 semaines, les sites Internet des banques estoniennes,
des médias et des institutio...
VOL 5022 SPANAIR
Volets et becs de bord d'attaque
non déployés, absence d’alarme
Le serveur central était contaminé
par des logiciels malve...
Panne électrique
• 2003 US Northeast Blackout?
NORTHEAST BLACKOUT
Panne de courant nord-américaine de 2003
Il s'agit de la plus grande catastrophe énergétique de l'histoire du continent,
les dommages s'élevant à environ six milli...
2005 Brazil?
2005 Los Angeles?
2015 Turquie?
IRAN
Centre d’enrichissement
Infrastructures SCADA
Interfaces permettant de piloter à distance
des infrastructures industrielles
9000 centrifugeuses détruites
6000 fichiers NDA, …
On parle de 500 M de dollars de perte
Pyongyang
Qui est concerné ?
• Particulier
• Entreprise
• Institution, organisation, Etat
Gouvernement (27%)
Industrie (25%)
Finance (15%)
Organisations (8%)
Medias (6%)
Education (5%)
Particuliers (3%)
PARTICULIERS
• Arnaque et chantage
• Usurpation d’identité
• PC vampirisé
• Espionnage via webcam
• Vol/perte de données personnelles
(...
Cloud
CELEBGATE
ENTREPRISE
Sur 500 chefs d'entreprises interviewés,
46% placent le cyber-risque parmi leurs
préoccupations majeures
« Un grand groupe devrait
dépenser entre 8 et 11 % de son
budget informatique en sécurité.
On est loin du compte.
Aujourd'...
BANCAIRE
Les banques considèrent désormais
la lutte contre la cybercriminalité comme
l'une de leurs principales priorités
FINANCIER
93% des sociétés de services financiers
dans le monde ont subi des cyber-menaces,
au cours des 12 derniers mois
ASSURANCE
• Sabotage industriel
• Rançonnage
• Détournement (site, réseaux sociaux)
• Vols de données confidentielles
(brevet et R&D...
« L’informatique industrielle
n’a pas été pensée pour un monde connecté »
SCADA
SCADA (Supervisory Control And Data Acquisition)
ou Système d’acquisition et de contrôle des données
O.I.V.
Un 0pérateur d’Importance
Vitale est une organisation
identifiée par un État
comme ayant des activités
d'importance...
• Secteurs étatiques
• Secteurs de la protection des citoyens
• Secteurs de la vie économique et sociale
ANSSI
QUI SONT CES HACKERS
Désigne un virtuose pouvant intervenir dans
différents domaines (informatique,
électronique, robotique, …)
TECH MODEL RAILROAD CLUB
FOUINEUR
BIDOUILLEUR
BRICOLEUR CREATIF
« Si vous faites chauffer de l’eau dans votre cafetière
pour faire cuire des saucisses, c’est une forme de hacking.
Parce ...
ETHICAL HACKER
C’est un terme qui définit les valeurs
et la philosophie de la communauté
des hackers
ETHIQUE
Toute information est par nature libre
Ne pas se fier à l'autorité,
promouvoir la décentralisation
Les hackers peuvent se juger par leurs prouesses,
non par d'autres hiérarchies sociales
Art et beauté peuvent être créés avec un ordinateur.
BIONICOHAND
Les ordinateurs peuvent
changer et améliorer la vie.
Nicolas Huchet,
alias Bionicohand
JOHN DRAPER
Roi des nerds,
l‘un des premiers dans l‘histoire
du piratage mondial
BLUE BOX
HACKER vs CRACKER
LES PIRATES
LES MOTIVATIONS
• Caractère stratégique
• Caractère idéologique
• Caractère politique
• Caractère terroriste
• Caractère cupide
• Caractèr...
L’ARGENT
#cyber-délinquant
SCRIPTKIDDIE
ou Lamer
PROFILS
• Agresseurs
• Fraudeurs
• Employés malveillants (Insiders)
• Militants
• Espions
• Terroristes
3 POPULATIONS
ACTIVISTE / HACKTIVISTE
Revendication / protestation / vandalisme
CYBER COMBATTANT
Détruire / Ralentir / Tuer
CYBER CRIMINEL
Voler / Arnaquer / Détourner
2 camps
White Hat - Black Hat
BLACK HAT
Black hat SEO
WHITE HAT
GREY HAT
KEVIN MITNICK
VOCABULAIRE
VIRUS
Un virus informatique est un automate
auto réplicatif à la base non malveillant
Ils sont conçus pour se propager en
...
VER
Ou worm
Un ver est un programme
qui peut s'auto reproduire sur le réseau
Les vers ("worms") sont donc des virus
avec leur propre v...
SPYWARE
ADWARE
MALWARE
Contraction de " malicious software " sont des
programmes spécifiquement conçus pour
endommager ou entraver le fon...
RANSOMWARE
« Le but ici est de crypter les données de
l’utilisateur pour ensuite le rançonner »
CRYPTOLOCKER
Méthodes
ATTAQUE PASSIVE
ATTAQUE ACTIVE
Mot de passe
« felix »
Identifiant
« régis »
Pour le compte « Régis »
Est-ce le mot de passe « felix » ?
OUI,j’ai bien le mot de passe
« felix »
en face de « régis »
NON,Je n’ai pas le mot de passe
« felix »
dans mon système
Est-ce le mot de passe « toto » ?
Est-ce le mot de passe « 1234 » ?
Est-ce le mot de passe « azerty » ?
Est-ce le mot de p...
• moulinet : 13 minutes pour cracker ce mot de passe
• Moulinet : 2 jours
• Moulin3t : 10 jours
• Moulin3t# : 12 ans
• Mou...
EXEMPLE : FRAC
• Force brute
• « Déni de Service distribué » (dDOS)
• « Ping de la mort »
• « Goutte d’eau »
• La modification des messag...
L’hameçonnage, phishing ou filoutage est une
technique utilisée par des fraudeurs pour
obtenir des renseignements personne...
La technique consiste à faire croire à la victime
qu'elle s'adresse à un tiers de confiance —
banque, administration, etc....
JEU
Quelle est ta ville de naissance ?
83411 PMDTbP0LZxu03SwrFUvYGA== ****************
PMDTbP0LZxu03SwrFUvYGA== “………..”
PMDTbP0LZxu03SwrFUvYGA== “………..”
PMDTbP0LZxu03SwrFUvYGA== “………..”
PMDTbP0LZxu03SwrFUvYGA=...
LES OUTILS
Contrairement aux idées reçues,
pour devenir hackeur,
nul besoin d’être un génie
de l’informatique.
Les outils de piratage...
1. Scan
2. Vulnérabilité
3. Exploit
« Le Google hacking est une technique
consistant à utiliser un moteur de recherche,
en vue de chercher des vulnérabilités ...
1.“Index of /admin”
2. “Index of /password”
3. “Index of /mail”
4. “Index of /” +passwd
5. “Index of /” +password.txt
6. “...
"index of" inurl:wp-content/
"inurl:"/wp-content/plugins/wp-shopping-cart/"
"inurl:wp-content/plugins/wp-dbmanager/”
intext:"WordPress SEO plugin v1.7.1"
Et restez cachés !
Comment ils vous arnaquent ?
• En pratiquant le Phishing via du spam
• En utilisant les failles #ZeroDay
• En pratiquant l...
CONSEQUENCES
Quelles sont les conséquences d’une cyber attaque ?
• Home page taguée
• Demande de rançon
• Création d’énorme Botnet #ddos #spam #cloud
• Récupération de données confidentie...
DARKNET Le Darknet aussi parfois appelé
réseau Friend-to-Friend (F2F)
A l’origine pour préserver
la confidentialité des éc...
500 fois plus important
Le web profond (invisible ou caché …en anglais Deep web) est la partie de la Toile
accessible en ligne, mais non indexée p...
The Onion Router
L’extension des pages du Darknet se termine en .onion
USA : 4 $
EU : 20 $
Gwapo's DDOS
10 à 50 $ / h
REACTION
• Comportementale
• Organisationnelle
• Technique
POSTURES
Comportementale
• Veille
• S’informer
• Se former
• Limiter les risques
• Vigilent
Organisationnelle
• Charte informatique
• Clause particulière dans le contrat du DSI
• Règlement sur l’usage personnel des TIC dans
un cadre...
Technique
• Mise à jour du SI
• Réseau(x) cloisonné(s)
• SSL
• Système IDS / IPS
• Audit externe par des experts #pentest
COMMENT SE PROTEGER ?
OFF Line
On réfléchit d'abord, on clique ensuite
La sécurité par l’obscurité
Posséder un antivirus … à jour
Activer le pare feu
Mettre à jour son système d’exploitation
Mettre à jour ses programmes
Sauvegarder régulièrement et automatiquement
Un mot de passe bien forgé
Ne pas utiliser le même mot de passe partout
Double identification
Ne communiquez jamais votre mot de passe
Limiter ses informations personnelles sur les réseaux sociaux
Supprimer les plugins et les programmes non utilisés ou inutiles
MOT DE PASSE
RECETTE
9 caractères minimum
- un chiffre
- 1 ou 2 caractères spéciaux
- une majuscule
ROBUSTESSE
« 91% des internautes utilisent l'un des
1.000 mots de passe les plus courants »
5 recettes pour vous aider
1.La passphrase
« L’hiver j’aime aller au ski avec mes enfants »
2. Le mot de passe composé
« _Jule # Jule_ »
3. La substitution
Remplacer « a » par « @ » ou « o » par « 0 » …
« R@z0ir »
4. Le mot de passe « dessiné »
ou ASCII Art
ALPHA =
« /||_P|-|/| »
|_ = L
|-| = H
5. La passphrase hachée
• Choisissez une phrase
• Prenez la première lettre de chaque mot
• Ajouter quelques chiffres et s...
• « L’hiver j’aime aller au ski avec mes enfants »
• Ce qui donne: Lhjaaasame
• On ajoute chiffres et symboles
« L’hj’aaas...
« Les utilisateurs ont en moyenne 25 comptes
sur Internet et seulement 6 mots de passe »
Déclinaisons
"J'adore mon Canon EOS 300D" sur
Flickr.com,
"Ras-le-bol des spammeurs" sur GMail.com
ou
« Lgmf776lpplr&& » s...
Sécurité par étage / niveau
My LIFE
Force différente / risque
Niveau 1 (faible)
lhjaaasame
Niveau 2 (moyen)
Lhjaaasam3e
Niveau 3 (fort)
L’hj’@aasam3e
Niveau 4...
Récapitulatif d’une bonne stratégie
• Classer par importance les sites ou applications où vous avez besoin d’un
mot de pas...
TESTEZ
EST-IL EN SECURITE ?
150 millions de mots de passe chiffrés
6,5 millions de mots de passe chiffrés
VERIFIONS
RECUPERATION
YEAHHHH
AIIIEEE !!!
A suivre
Mot de passe wifi récupérable et non chiffré
ET DEMAIN ?
Pour en finir avec le mot de passe,
pourquoi ne pas utiliser le corps humain ?
« avaler son mot de passe »
PROCHAIN EPISODE
NFC …
Nouvel eldorado
des pickpockets 2.0 ?
Protège carte blindé
CONCLUSION
Bonjour Très Cher,
Je tiens dans un premier temps à m’excuser pour cette intrusion dans votre vie même si
j’avoue que cela...
Comportements différents entre monde Réel / Virtuel
« Internet est un bien public mondial,
… c’est un objet précieux »
340
FIN / MERCI
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Cyber attaque #cbc35
Prochain SlideShare
Chargement dans…5
×

Cyber attaque #cbc35

2 429 vues

Publié le

Conférence sur la sécurité numérique "Cyber attaque, comment se protéger ?" à la CCI de Rennes - 21 mai 2015 organisé par le CBC 35 avec Régis Le Guennec, directeur de MBA multimédia et Damien Bégoc, DGA Maîtrise de l'information

Publié dans : Internet
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 429
Sur SlideShare
0
Issues des intégrations
0
Intégrations
43
Actions
Partages
0
Téléchargements
38
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Breton pur beurre né 1969 : Connexion des premiers ordinateurs entre 4 universités américaines ….premier signe de l’INTERNET

    A grandi à côté de Rennes Atalante, dans la ville du minitel,
  • Co-fondateur de l’association BUG en 1995
    Association de vulgarisation multimédia à Rennes

  • New teknik, soirée numérique et culture
    Rennet, premier portail associatif rennais
    Conférence : Les enjeux de l’internet

  • CEO de l’agence MBA Multimédia créée en 1997
    10 personnes à Rennes
  • Sensibilisation, prévention et alerter les utilisateurs dans le cadre de la lutte contre les cyber menaces.

    Sécurité mais aussi Identité numérique, e-réputation, …
  • Prenons conscience de ce qu’il se passe, et agissons chacun avec nos moyens pour lutter contre ce mal

    Oui tous, même vous monsieur
  • Tous, même vous madame …
  • C’est sans fin …
    Les cyber criminels auront toujours de l’avance sur les cyber policiers
  • J’aurais pu vu présenter un monde comme celui ci mais je vous aurais fait peur,
  • Mais ca ressemble plus à un film de james bond avec …
  • Avec des mechants
  • Et des gentils
  • Et tout ca ... se passe dans les tuyaux (mais aussi dans les Airs)
  • Ceci est la carte en temps réel des attaques informatiques dans le monde

    C’est déja plus concret non ???

    map.ipviking.com
  • Cybercriminel ? non
  • Cybercrimel (Cyberterroriste) en chemise blanche

    Avance masquée, sans faire de bruit, profite de l’inattention de l’utilisateur, de son ignorance (c’est une des raison pour laquelle je suis ici aujourd'hui)

    Enjeu :
    (Pédo)pornographie, fraude, intrusion
  • Cybercriminalité : fraude commise en utilisant des systèmes informatiques, notamment sur Internet. Parmi les cas classiques de cybercriminalité, on peut citer le vol d’informations personnelles telles que les coordonnées bancaires.
  • E-Crime, pourquoi ça marche ?

    Globale = mondiale

    Organisé : Marché noir
  • Coût de la Cybercriminalité : plus de 400 Milliard de dollars / an

    (elle dépasse le trafic de drogue)
  • « le smartphone est l’outil d’espionnage ultime parce qu’il contient énormément d’informations personnelles utiles »

    Sensepost Research Labs have developed a drone called “Snoopy”
    https://www.youtube.com/watch?t=621&v=dysnKiXUlRU

    #objet connectés Pacemaker, fusil,

    #smartcar Priise de contrôle totale d’un véhicule (bus CAN : Controller Area Network)
    https://www.youtube.com/watch?v=3jstaBeXgAs

    #smartcity Piratage de 4 feux à LOS ANGELES
    https://www.youtube.com/watch?v=hcoVMXLTQzw
  • Web, FTP, DNS
  • IPBX, switch managés, routeur
  • Borne wifi,
  • Demo Hacking
    https://www.youtube.com/watch?v=dysnKiXUlRU
  • Montre connecté, Pacemaker (wifi)
  • Drone Parrot

    Demo hacking (5:36)
    https://www.youtube.com/watch?v=dysnKiXUlRU
  • Hacking d’une voiture :
    https://www.youtube.com/watch?v=3jstaBeXgAs

  • 5 grosses affaires de piratage Hightech

    ICI, on ne parle pas de petit piratage de site web mais d’attaques aux conséquences bien réelles
  • L’estonie: 1ere cyberguerre

    L'éclatement de l'Union soviétique en 1991 permet à l'Estonie de retrouver son indépendance à l'issue d'un processus pacifique.

    l'Estonie adhère à l'OTAN et intègre l'Union européenne en 2004.
  • « L’Estonie Numérique »
    Pionnier de l’identité Numerique

    Depuis son indépendance, l'Estonie a tout misé sur les technologies de l'information pour son développement, ambitionne d'avoir le système le plus sûr au monde
  • Tout commence dans la ville de Tallinn, capitale de l’Estonie et le principal port du pays

    En 2007
  • Origine : déplacement du Soldat de bronze

    C'était au printemps 2007. Le gouvernement estonien décide de déplacer le «soldat de bronze», statue érigée en 1947 en plein centre-ville à la mémoire des soldats de l'armée rouge tombés pendant la Seconde Guerre mondiale, et largement considérée par les Estoniens comme un symbole de l'occupation russe. Son retrait du coeur de la capitale, à quelques jours des commémorations du 9 mai 1945, provoque la colère de la frange la plus extrémiste des russophones d'Estonie. Des émeutes s'ensuivent, un manifestant décède. C'est alors que les affrontements de la rue se déplacent. sur la Toile. A partir du 27 avril, date du déplacement de la statue, et pendant quatre semaines, avec un pic le 8 mai, les sites Internet des banques estoniennes, des médias et des institutions gouvernementales sont fortement perturbés #DDOS
  • 20 août 2008
    Un malware à l’origine du crash
    l'avion n'était pas configuré correctement pour le décollage, ses volets et becs de bord d'attaque n'étant pas déployés. Ceci a provoqué un décrochage de l'avion dans les secondes qui ont suivi son envol.
    Une alarme aurait du retentir et empêcher le décollage, malheureusement un logiciel malveillant avait infecté l’ordinateur centrale de la compagnie

    >> 154 morts et 18 blessés
  • Décollage de l’aéroport de Madrid.
  • Northeast Blackout?

    50 millions de personnes dans le noir

    Son origine provient essentiellement de l'arrêt de plusieurs centrales électriques les 12 et 13 août, ainsi que la coupure de plusieurs lignes de 345 kV dans l'Ohio, par négligence de la société FirstEnergy.

    Par effet de cascade en cette période de forte consommation, la panne s'étend en quelques heures sur 256 centrales électriques
  • Grand Central Station va par exemple se transformer en dortoir géant.

    Wall Street, Manhattan et les Nations unies sont dans l'obscurité, ainsi que Toronto, Détroit, Cleveland, Rochester et Ottawa.

  • Les grills sont vulnérables
    S’incronisation de la panne en Turquie avec la prise d’otage au palais de justice et la panne ? (camera, système de sécurité, …)
  • Centre d’enrichissement de Natanz (code malveillant 315) et la centrale de production électrique de Bushehr (code malveillant 417)
  • Equipement Siemens SCADA


  • Virus Stuxnet #malware

    Stuxnet = 2 charges actives (315 et 417)


  • 24 novembre 2014

    Pirates : acronyme #GOP (pour Guardian of Peace)

    Dizaines / Centaines de téraoctets (38 millions de fichiers)

    Le plus gros piratage d’une entreprise commerciale jamais réalisé
  • Données personnelles des employés et acteurs (salaires, bonus et numéros de sécurité sociale, mot de passe (3800 fichiers nommés « motdepasse »), adresses postales, des numéros de téléphone, des adresses électroniques, passeports (9000 scans), visas,
    ou encore le numéro de sécurité sociale de Sylvester Stallone,
  • Une ébauche du scénario du film Spectre, le prochain James Bond

    Fichier : film (rush) pas encore sorti, scripts de prochaine série
  • De nombreuses bases de données, brevet, dossier juridique et financier, contrats (6000 fichiers NDA), calendrier de sortie,
  • 24 novembre sur les ordinateurs des milliers d'employés américains de Sony Pictures
  • Préjudice énorme (image, réputation, crédibilité, financier, …)

    On parle de 500 M de dollars de perte
  • Washington accuse la Corée du nord / Pyongyang
  • You Tube password Login .xls
  • Wikileaks

    https://wikileaks.org/sony/press/
  • Cible
  • Animaux, robots,
  • Et pourquoi pas nos animaux (domestiques, …)
  • Nos compagnons … les robots
  • Imaginez votre aspirateur piraté ?

    Bon c’est pas bien méchant … ca peut être marrant
  • La tondeuse, un peu moins drôle !
  • Tous les appareils sont concernés
  • Particulier : Novice / peu de connaissances

    3,9 millions d’attaques sur les ordinateurs chaque jour (Source : Kaspersky)
  • Septembre 2014
    Affaire icloud et sa centaine de célébrités piratées
  • Fuite sur 4chan et Reddit de plusieurs dizaines de photos personnelles (d’un simple selfie à beaucoup plus explicite) d’une centaine de stars

    Parmi les victimes figuraient Jennifer Lawrence, Ariana Grande, Kate Upton et Victoria Justice
  • 3 secteurs les plus ciblés,
  • "Certaines institutions peuvent subir jusqu'à 10.000 attaques chaque jour",
  • 86% des contacts entre clients et banques s'effectuent via le numérique
  • >> PME, cible peu protégée, en contact direct avec les grandes entreprises
  • Laurent Heslault, directeur des stratégies de sécurité de Symantec


    Le monde industriel dépend fortement de tiers - Support et maintenance des équipements
    - Support des progiciels métier
    - Télé-opération de certains équipements (parfois loués)
  • La plupart des infrastructures critiques européennes concernent les secteurs de l’énergie

    Ces infrastructures sont principalement gérées et contrôlées par les systèmes SCADA
  • des transports
  • et de l’approvisionnement en eau.

    Ces infrastructures sont principalement gérées et contrôlées par les systèmes SCADA


    Avril 2013 : Georgia water plant, traitements des eaux (USA) : Changement du taux de chlore et de fluor, arret de l’usine et enquete FBI



  • Soumis à des exigences en matière de protection aux cyber attaques, amendes si pas bien protégé (150 000€ d'amende si non respect des règles de sécurité)

    Plus de 200 identifiés en France début 2015
    Sont désignés par arrêtés, eux-mêmes non publiés et non communicables


    Gere ou utilise au titre de ces activités un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement :

    D’oberer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation
    Ou de mettre gravement en cause la sante ou la vie de la population ́
  • Secteurs étatiques : activités civiles de l’Etat; activités militaires de l’Etat; activités judiciaires; espace et recherche.
    Secteurs de la protection des citoyens : santé; gestion de l’eau; alimentation.
    Secteurs de la vie économique et sociale de la nation : énergie; communication, électronique, audiovisuel et information; transports; finances; industrie.
  • Créée en 2009

    L'Agence nationale de la sécurité des systèmes d'information

    a DCSSI a été remplacée le 7 juillet 2009 par l'agence nationale de la SSI (ANSSI).
  • Qui sont ils vraiment
  • Le terme apparaît en 1959 dans le jargon du Tech Model Railroad Club (TMRC), une association d'étudiants du Massachusetts Institute of Technology (MIT).
  • #améliorer #détourner
  • Street Hack
  • Hack Housing


  • C’est ainsi que BT a annoncé fin avril 2015 le programme BT Assure Ethical Hacking for Vehicles, regroupant notamment des pirates étiques qui vérifieront la sécurité du système d’information des voitures connectées. Il s’agit aussi bien de vérifier que le véhicule ne peut devenir un danger pour ses occupants que d’éviter que les informations personnelles des conducteurs ne soient dérobées.
  • L’Ethique hacker
  • Toute information est par nature libre.
  • Ne pas se fier à l'autorité, promouvoir la décentralisation.
  • Les hackers peuvent se juger par leurs prouesses, non par d'autres hiérarchies sociales
  • Art et beauté peuvent être créés avec un ordinateur.
  • Les ordinateurs peuvent changer et améliorer la vie.

    Nicolas Huchet, alias Bionicohand, qui a perdu sa main dans un accident, et rêve de fabriquer sa propre prothèse électronique.
  • CANBus Triple – The car hacking platform

    A base d’Arduino
  • Phreaking (piratage téléphonique) est né en 1960 au Etas unis


  • John Draper, roi des nerds, l‘un des premiers dans l‘histoire du piratage mondial,

    Il a été arrêté à Sydney, et condamné à deux mois de prison en 1976

    A développé l'un des premiers programmes de traitement de texte Pour l’Apple II #EasyWriter
  • Il avait utilisé un sifflet trouvé dans une boîte de céréales Cap’n Crunch pour accéder à des fonctions spéciales du central téléphonique.
  • Le son émis par ce sifflet avait une fréquence de 2 600 Hz (mi 6), la même fréquence que le signal utilise pour piloter le central téléphonique

    Il est à l’origine de la Blue Box


  • La Blue Box est un dispositif, le plus souvent électronique, permettant de frauder les télécommunications pour les uns, d'explorer le plus grand réseau du monde pour les autres.

    La "faille" qu'utilise la bluebox, consistant à faire croire au système téléphonique que l'utilisateur de la bluebox est lui-même partie intégrante du réseau
  • Certains d'entre eux utilisent ce savoir-faire dans un cadre légal et d'autres (Pirates/Cracker) l'utilisent hors-la-loi
  • Les pirates informatiques (black hat)
  • Script kiddie ou Lamer, cyber-délinquant à la recherche de cibles faciles ne demandant pas de connaissance particulière en informatique.
    Réalise des exploits très faciles à reproduire,
    Le terme lamer est associé à l’utilisation de logiciels pré-fabriqués

    Aux yeux des hackers véritables, ils sont des « rigolos » ou des amateurs un peu vantards

    Dans le domaine du jeu vidéo, le lamer est un joueur désagréable par son comportement ou par son style de jeu

    D’apres certains, ils représente 90 % des hackers
  • On peut rassembler ces profils dans 3 grands types de population

    USA
    UK
    Chine
    Russie
    Iran
    Corée du Nord
    Turquie
    Tunisie, Maroc, Algérie
    Indonesie,
  • revendication / protestation / vandalisme
  • Détruire / Bloquer / Ralentir / Tuer


    Terroristes
  • Acte de malveillance
  • Son origine vient des films de western, où le héros porte un chapeau blanc tandis que le bandit porte un chapeau noir.
  • Mal intentionnés
    pas de morale, et se permet l'illégalité pour arriver à son but
    Bénéfice financier
    Nuire
    Prône la non-divulgation de failles

    Le terme « black hat » représente également des conférences sur le thème de la sécurité informatique


  • Pousse les techniques SEO au delà des règles de bonne conduite #borderLine
  • Hacker éthique ou un expert en sécurité informatique
    Avertissent les auteurs lors de la découverte de vulnérabilités pour accélérer l’installation de patches de mise à jour
  • Est engagé pour la sécurité et la recherche de failles d'applications ou de sites web ; Est régi par une éthique (de diffusion de l'information, ou/et politique) ; Cherche à protéger l'utilisateur des failles potentielles en prévenant le vendeur ;
    Défend les droits de l'utilisateur et la liberté / neutralité du net

    Un type de hacker grey hat est le hacker agissant au nom d'une idéologie qu'il considère juste, commettant des délits non pas pour son propre profit mais dans le but de lutter pour une cause, telle que la liberté d'expression et la protection de la vie privée
  • Justicier masqué qui combat l'injustice
  • Une forme plus moderne : Taguer un site web 

    Tags et graffitis ont coûté 2,8 millions d'euros de préjudices en 2012 sur Paris
  • Defacing (défacer/mentment)

    Désigne la modification non sollicitée de la présentation d'un site web
    Il s'agit donc d'une forme de détournement de site Web par un hacker #communication #revendication
  • Kevin Mitnick, alias Tomas Guttierez, né en 1963 en Californie On lui doit l’attaque de Pacific Bell, Fujitsu, Motorola, Nokia, Sun Microsystems et du Pentagone

    A 12 ans, il pirate le système de carte de transport de Los Angeles et voyage gratuit
    En 1979 (à 16 ans), il s’introduit dans le réseau informatique de DEC (Digital Equipment Corporation)
    En 1980 il pénètre physiquement dans le central téléphonique COSMOS de Pacific Bell à Los Angeles « La personne que vous recherchez est-elle blanche ou noire ? Car nous tenons deux répertoires distincts. »

    En 1983, Mitnick fait une intrusion dans le réseau du Pentagone (6 mois ferme)
    En 1987, il est de nouveau arrêté par la police pour utilisation illégale de numéros de cartes de crédits téléphoniques (mise à l’épreuve de 3 ans)
    En 1989, il travaille comme détective à la Tel Tec Detective Agency. Il disparaît alors que le FBI vient l’arrêter pour une nouvelle intrusion informatique
    Fin 1992, il est soupçonné de piratage et de prise de contrôle du réseau téléphonique de la Californie et de mise sous écoute des agents du FBI à sa recherche
  • Lexique préliminaire
  • Un virus informatique est un automate auto réplicatif à la base non malveillant
    Ils sont conçus pour se propager à d'autres ordinateurs en s'insérant dans des logiciels légitimes, appelés « hôtes »
    il peut se répandre par tout moyen d'échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, etc…
    Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs. Il détruisait l'ensemble des informations du système attaqué et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à 2002.
    A chaque réplication, le virus est chiffré
    Un virus a 2 composants : le transport et réplication + charge utile (payload)


    Origine : un jeu « Core war“ entre 3 informaticiens de la société Bell dans les années 60
    L'objectif du jeu est de détruire les programmes adverses tout en assurant sa propre prolifération

    Ils sont capables de se recopier, de se réparer, de se déplacer eux-mêmes en différentes zones de la mémoire

    En 1985, deux frères pakistanais inventent le premier virus, il s’apelle Brain (permettait de détecter les failles sous Windows en ce propageant via les disquettes)

    En 1986, l'ARPANET fut infecté par Brain, virus renommant toutes les disquettes de démarrage de système en (C)Brain. Les créateurs de ce virus y donnaient leurs nom, adresse et numéro de téléphone car c'était une publicité pour eux.

    1987 sera une année fertile pour les virus ! Cascade, le premier virus crypté, ancêtre des virus polymorphes voit le jour. La même année, Lehigh arrive, premier virus capable d’endommager les données stockées sur les disques. Toujours en 1987, Surviv.2 s’attaque aux fichiers .exe, et enfin la première épidémie mondiale se déclenche à partir de Surviv.4 !

    Le premier virus ciblant la téléphonie mobile est né en 2004 : il s'agit de Cabir se diffusant par l'intermédiaire des connexions Bluetooth

    Virus Radar : http://www.virusradar.com/en


  • Worm ou ver
  • Un ver est un programme qui peut s'auto reproduire sur le reseau (pour se propager; un ver est donc un virus réseau)
    Les vers ("worms") sont donc des virus avec leur propre véhicule.

    Il est capables de se propager et de se dupliquer par leurs propres moyens sans contaminer de programme hôte (comme le virus)

    Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse






  • Le spyware, acronyme anglais de "spy" (espion) et "ware" (suffixe désignant une classe de logiciels) a donné en français espiogiciel. Tout logiciel introduit sur un dispositif et qui emploie la connexion Internet d'un utilisateur (ainsi que tout autre moyen ou support) à son insu ou sans sa permission explicite et éclairée, pour collecter des informations,

    Il s’installe généralement en même temps qu’un shareware ou un freeware

    C’est un mouchard

    Les récoltes d'informations peuvent ainsi être :
    • la traçabilité des URL des sites visités,
    • le traquage des mots-clés saisis dans les moteurs de recherche,
    • l'analyse des achats réalisés via internet,
    • voire les informations de paiement bancaire (numéro de carte bleue / VISA)
    • ou bien des informations personnelles.


    Les spywares ne sont pas forcément illégaux #licence

    les spywares peuvent également être une source de nuisances diverses :
    • consommation de mémoire vive,
    • utilisation d'espace disque,
    • mobilisation des ressources du processeur,
    • plantages d'autres applications,
    • gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en fonction des données collectées).
  • Les adwares, d'advertising (publicité en anglais), cousins des spywares, sont centrés sur l'affichage publicitaire. Ils constituent d'ailleurs la souche originelle de ces parasites.
    Ces logiciels souvent inoffensifs vont principalement soit vous bombarder de bandeaux de publicité spécifiques soit vous inonder de pop-up.

  • Les malwares

    Contraction de " malicious software " sont des programmes spécifiquement conçus pour endommager ou entraver le fonctionnement normal d'un ordinateur. Les malwares sont à la navigation Web ce que sont virus ou vers pour le mail et Internet.

    Contrairement aux spywares et adwares, les malwares ont clairement pour objectif de nuire à l'intégrité d'un système.

    Un ordinateur serait infecté toutes les 18 secondes dans le monde par un logiciel malveillant
  • Ransonware ou rançongiciel

    Le but ici est de crypter les données de l’utilisateur pour ensuite le rançonner


    Ransonweb: site web saturé et donc indisponible

    ScarePackage, ransomware sur Android
  • Cryptolocker est un logiciel malveillant dont la présence sur le web a augmenté de 700 % entre 2012 et 2014. Selon les calculs du FBI en juin 2014, il a causé pour 27 millions de dollars de pertes aux utilisateurs. Sous couvert d'une mise à jour Adobe Flash, le logiciel malveillant crypte les fichiers des victimes et exige un paiement (pouvant aller de 100 dollars à 400 dollars) pour les décrypter. Il n'y a en 2014 aucun moyen connu pour casser l'algorithme de chiffrement utilisé, ce qui explique le pourcentage élevé de victimes ayant payé la rançon exigée par les fraudeurs (200 voir 300 euros par victime)

    Le ransonware peut aussi utiliser la capture video pour vour faire « chanter »

    200 000 infections répertoriées aux USA, rien qu’en avril 2014


    La nouvelle variante de CryptoWall ransomware, comme d'autres, est distribué par courriel malveillants et par des campagnes Malvertising.
    http://resources.infosecinstitute.com/hunting-malware-deep-web/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:%20infosecResources%20%28InfoSec%20Resources%29
  • On va parcourir les différentes type d’attaques
  • Analyse du réseau (scan)
  • Puis écouter

    La tentative d'intrusion sera surnoise et graduelle, voire périodiquement interrompue afin que le pirate ne soit pas détecté


  • L'attaque par force brute est une méthode utilisée pour trouver un mot de passe. Il s'agit de tester, une à une, toutes les combinaisons possibles.

    Exemple ; Attaque de mot de passe : Force brute (utilisation d’une combinaison illimité de mot en clair) ou dictionnaire (mot connu avec variante, uniquement pour les mots de passe en clair) / Rainbow Table (combinaison illimitée de valeur hachée)

  • Le mot de passe est envoyé en clair
  • Le calculateur… l’ordinateur vérifie dans la base de données …
  • ou
  • Imaginons quelqu’un de mal intentionné qui cherche à rentrer
  • Et qui pourrait essayer des clés une à une pour tenter sa chance
  • Un ordinateur personnel est capable de tester quelques millions de mots de passe par seconde…alors un serveur multi-cœurs !
  • A plusieurs on va plus vite

    Imaginez avec vos ordinateurs !
  • Mots de passe par défaut des équipements, dates, immatriculations de véhicules, dictionnaires de noms d'animaux, dictionnaires des patronymes d'un pays ou d'une culture, dictionnaire des prénoms

    CrackStation, environ 1,5 milliard de mots passes (15 Gb) mise à dispo par Stun
    Une compilation de toutes les listes de mots, les dictionnaires et les mots de passe contenus dans les bases de données piratées de ces dernières années. Mais Stun ne s'est pas arrêté là puisqu'il a aussi récupéré tous les mots de Wikipedia dans toutes les langues, ainsi que dans de nombreux ouvrages diffusés sur le site du projet Gutenberg.


  • C'est le problème du Temps. Accéder à une donnée avec des années de retard sur sa signifiance risque de conduire à une donnée totalement périmée, n'ayant plus aucune valeur.

    Le cyber criminel gagne du temps s'il sait quel est le jeu de caractères autorisé pour la création des "mots de passe" qu'il tente de casser, ainsi que les longueurs minimum et maximum de ces mots de passe. Une faille de sécurité est, d'ailleurs, que ces informations sont faciles à obtenir : il suffit de tenter d'ouvrir un compte sur le système attaqué pour que l'autorité vous dise, la plupart du temps, que votre "mot de passe" doit faire tant de caractères de long et ne comporter que tels et tels caractères

    Outils pour connaître le temps necessaire pour trouver un mot de passe
    https://howsecureismypassword.net

  • On pourrait croire que c’est fastidieux …


  • Entre le temps infini mis à casser un mot de passe en Force Brute ou la taille mémoire infinie des dictionnaires exhaustifs, il a fallu trouver un compromis.
  • Le site du FRAC Bretagne
  • Parfois le compte est bloqué
  • Distributed Denial-Of-Service

    Ou déni de service distribué est un type d'attaque très évolué visant à faire planter ou à rendre muette une machine en la submergeant de trafic inutile
  • Rendre inacessible et bloquer le fonctionnement normal
  • Plusieurs machines sont à l'origine de l’attaque (c'est une attaque distribuée) qui vise à anéantir des serveurs, des sous-réseaux, etc.

    Très difficile à contrer ou à éviter.
    Cette attaque représente une menace que beaucoup craignent

    Dans plus en plus caché dans le réseau TOR
  • Pour lancer une attaque DDOS il suffit d’appuyer sur un bouton ..enfin presque

  • Ping de la mort : le pirate envoie des paquets ICMP (Internet Control Message Protocol) de grandes tailles et fragmentés provoquant une accumulation de piles TCP/IP qui finit par crasher le serveur.

    La "goutte d'eau" (tear drop) : à l'image de celle qui fait déborder le vase, le pirate envoie la première et la deuxième partie d'un paquet TCP dans des fragments IP différents et se chevauchant, provoquant un crash du serveur.

    La modification des messages : il s'agit de l'une des attaques actives les plus destructrices. Elle consiste à capturer un message et y effectuer des changements non autorisés, des suppressions, des changements de séquences ou à retarder sa transmission. Effectuée sur des transactions bancaires, cela peut avoir des conséquences financières catastrophiques quand il s'agit par exemple d'ordres de bourses

    La tromperie ou la mascarade : cela consiste à tromper le destinataire sur son identité. Une méthode consiste à attaquer les attributs d'authentification des messages transitant sur le réseau ou sur Internet.

    L'attaque de l'homme du milieu (HDM) ou man in the middle attack (MITM) est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis.

    Le pharming : technique de piratage exploitant des vulnérabilités DNS (détournement)

    « l'arnaque au président » : consiste à extorquer de l'argent à une entreprise en se faisant passer pour son dirigeant.
     Michelin, qui a perdu 1,6 million d’euros
    KMPG : 7,6 million Euros
    l’Olympique de marseille : 700 Keuros

    Faux virus = faux Antivirus = téléchargement malware = vrai virus

  • Faire peur aux cibles, les inciter à agir vite, sans trop réfléchir.

  • AppleID, gmail, banque, gouvernement
  • HTTPS c’est mieux
    Regarder autour, ne pas se précipiter, comprendre, apprendre , …?
  • On va se mettre dans la peau d’un pirate débutant, les pirates c’est vous !
  • Parfois pour vous aider à retrouver le mot de passe, il existe une astuce

    Astuce , indice, Hint
  • Votre ville de naissance ?
    Le nom de votre doudou ?
  • Un mot de passe utilisé près de 90 000 fois
  • Les outils /techniques de piratage

    Comment sont ils équipés ? Ou se procurer les outils ? Est-ce compliqué à utiliser ?
  • Ce ne sont pas des outils traditionnels mais des logiciels

  • BackTrack est un outil d'audit de sécurité.
    Il permet de tester le système cible, identifier ses vulnérabilités, de le protéger, mais évidemment on peut l'utiliser dans l'autre sens, pour pénétrer un système via les "exploitation tools".


  • Rangé dans 3 familles d’outils : Scan, Vulnérabilité et Exploit

    Qui est là ? Quelles sont les vulnérabilités ? Exploiter pour rentrer

    2 type : On et Off line


    Viennent ensuite tous les utilitaires permettant d'identifier les vulnérabilités et de scanner les ports d'un système : Metasploit framework, scanport, asmodeous, jakal, nmap, strobe, etc, sans oublier les logiciels permettant de casser les mots de passe comme John the Ripper et LophtCrack



  • Google Hacking (ou Google Dorks) : référencement d’informations confidentielles

    Le Google hacking est une technique consistant à utiliser un moteur de recherche, généralement Google, en vue de chercher des vulnérabilités ou de récupérer des données sensibles


    http://johnny.ihackstuff.com/


    http://actes.sstic.org/SSTIC09/
  • Listage de dossier intitle:"index of”

    Pour cibler un site :
    site:information-security
  • "index of" inurl:wp-content/

    "inurl:"/wp-content/plugins/wp-shopping-cart/"

    "inurl:wp-content/plugins/wp-dbmanager/”

  • Les CMS sont bavards dans le code source : empreinte numérique
  • 935 000 résultats
  • http://howtobecomearockstarphotographer.com/
  • Télécharger un fichier, c’est pas forcement en pièce jointe d’un email !
    #fausse fenetre
  • Quelles sont les conséquences ?
  • Une des conséquence c’est de se voir défacer sa home page
  • Darknet, le coté obscur du web

    Le Darknet aussi parfois appelé réseau friend-to-friend (F2F)

  • Le web profond et le web opaque sont accessibles en ligne aux internautes, les deux ne sont pas indexés par les moteurs : le web opaque pourrait être indexé.

    Au dessous du web opaque (underground)




  • L’extension des pages du Darknet se termine en .onion
    Grâce au Darknet, vous pourrez surfer de façon anonyme

    Un des logiciels pour surfer : TOR, acronyme de The Onion Router,
  • Que les sites .onion


    Drogue, porno, arme, tueur a gage, forum de hacker #black, kit exploit, 0day vulnérabilité, malware/virus/ver, botnet, fichier illicite (video, …)
  • Dérobé sur le territoire

    les Européens perdent chaque année plus de 1,7 milliards d’euros dû aux vols des données présentes sur les cartes bancaires. La France, avec 544 millions de perte en 2013 se positionne au 3ème rang derrière le Royaume-Uni et les États-Unis.

    Chaque année, l'économie américaine perd environ 5 milliards de dollars

    en 2013, des pirates ont compromis plus de 40 millions de cartes bancaires en dérobant des données bancaires à la chaîne de supermarchés Target.
  • location / pub sur you tube

    https://www.youtube.com/watch?v=XnjV8eB3xtc


  • 3 postures adopter rapidement
  • Adopter Posture comportementale
  • Ne pas faire n’importe quoi, réfléchir avant d’agir, se poser des (bonnes) questions,
  • Comment se protéger ?

    On sait que dans les attaques ciblées, le défaut de la cuirasse tient à une erreur humaine.

  • Première précaution : si une information est confidentielle, j’évite de la mettre sur Internet, je la garde OffLine
  • Pour le spam comme pour le piratage, il faut éviter la fainéantise intellectuelle
  • Cacher ses versions (page 404 personnalisée, commentaires dans code sources)
    Ne pas trop en dire sur les réseaux sociaux et généralement sur ..Internet
    Eviter le référencement de certaines pages/fichiers (CV, AG …)
  • Kaspersky
    BitDefender 2015
    Norton 2015
    Sophos

    Gratuit : Avast, AVG

    Comparatif : http://www.tomsguide.fr/article/comparatif-meilleures-suites-securite-antivirus,2-1554.html

  • Sans pare feu, vous avez 4 mn pour survivre sur le web

    Méfiez-vous des pare-feu gratuits, en particulier lorsque le passé de la société est trouble (comme Comodo , presense d’un Adware dans son parefeu)
  • Navigateurs, flash, acrobat reader


  • Externe à la pièce si possible, éviter le cloud (confidentialité)
  • Au moins 8 caractères (12 idéalement) , chiffre et lettres, majuscule et minuscule … et caractères spéciaux

    Ne dois pas contenir de mot du dictionnaire, ne pas avoir de sens

    Pour être sûr qu’un mot de passe mémorisable n’existe dans aucune langue, tapez-le en partie ou en entier dans Google. S’il ne retourne aucun résultat, alors votre mot de passe n’est pas un mot du dictionnaire.
  • On évite de le noter sur un post it
  • Twitter, Gmail, Facebook
  • Ni votre identifiant d’ailleurs (et notamment votre email)
  • On est pas obliger de tout remplir
  • Enchevêtrements de modules différents = fragilité du système global = risque plus élevé !!

    Idem pour les APP installés sur son Smartphone (sources officielles, supprimer-les si pas utilisées, …)
  • Comment faire un « bon » mot de passe ??

    http://forum.ovh.com/showthread.php?19935-Cr%E9er-de-bons-mot-de-passe-m%E9morisables


    > Plus de 8 caractères (idéalement 12) et mélange lettres, chiffres et symboles.
  • Plusieurs alphabets
  • On ne parlera pas des recettes de pur geeek aujourd’hui
  • Ni des crêpes au sucre que tout le monde connait
  • Voici la recette pour forger un vrai mot de passe


    la plupart des attaques se font sur des mots de passe de 8 caractères
  • Comment s’en souvenir ?
  • Eviter les app pour sauvegarder et centraliser vos mots de passe

    Le même mot de passe protégé correctement à un endroit peut être très simplement mis en danger à un autre. Auriez-vous confié vos clefs à la gendarmerie et en même temps une copie à un parfait inconnu ?
  • A choisir, voire a mélanger

    La 6eme … je l’ai déjà prise
  • Prenez une phrase que vous utilisez souvent
  • Prenez tout simplement deux mots, mettez un caractère spécial ou deux et vous voilà équipé d’un bon mot de passe.
  • Attention cependant, cette méthode commence à être très connue et intégrée dans certains dictionnaires. Inclure de la substitution est une bonne idée, mais il ne faut pas se reposer uniquement sur elle.
  • « alpha », écrit de cette manière, fait 10 caractères, dont 9 spéciaux et est quasi incassable.
  • « alpha », écrit de cette manière, fait 10 caractères, dont 9 spéciaux et est quasi incassable.
  • 13 caractères dont 2 spéciaux et 1 chiffre
  • Un mot de passe par site
  • Pour les forums, les blogs, les sites informels & les newsletters, etc
  • Pour les sites pouvant contenir des données personnelles, leurrer vos amis ou encore mener à un vol d’identité : Twitter, Facebook, LinkedIn, etc.
  • Pour vos accès à votre ordinateur, vos comptes clefs, vos accès professionnels, les sites transactionnels
  • Celui qui ouvre tout, le mot clef de tous vos secrets, votre vie.
  • Même sous la torture on ne le communique jamais
  • https://howsecureismypassword.net/
  • Mes données, mon mot de passe est il bien sécurisé ?
  • Mon mot de passe est renseigné dans beaucoup de plateformes … alors est il correctement protégé ?
  • Exemple de leak de mot de passe

    En 2013 : adobe

    Le fichier des mots de passe fait 4 Gb compressé (10 non compressé)
  • 6/2012 : Linkedin
  • Ce sont fait voler des liste de mots de passe, email, … par milliers ou par millions
  • Vérifions si mon mot de passe est en sécurité dans le plateforme où je viens de le stocker
  • URL pour le changer (durée de vie limitée)
  • Dans ce cas là ..fuyez !!
  • Les mauvais sites
  • En savoir plus

    http://www.undernews.fr/alertes-securite/gopro-une-vulnerabilite-expose-les-mots-de-passe-wi-fi.html
  • En finir avec le mot de passe, pourquoi ne pas utiliser le corps humain ?
  • Touch ID
  • Impression 3D : attention à la définition / résolution

    Enfants pendant la sieste du papa
  • Pilule à avaler

    En 2013, Motorola (google depuis 2011) avait déjà mentionné la possibilité d’ «avaler son mot de passe»

    Cette technologie, que Motorola nomme «vitamine d’authentification», n’est pas encore disponible sur le marché, mais a été approuvée par la Food and Drug Administration des Etats-Unis.
  • Imaginez une attaque de smartcar vampirisée vers une gendarmerie, une école, une station essence ?
  • En approchant

    Terminal de paiement (TPE) - Portatif

    80 euros par jour … sans demander le code
  • Protège carte blindé

    Caractéristiques techniques :
    Système d’étui carte blindé qui empêche la téléalimentation de la carte sans contact.
    Ce dispositif assure également une protection mécanique de la carte
    Blindage anti-Rfid : inhibition complète d’une communication sans contact entre une carte et son lecteur lorsque la carte est complètement insérée à l’intérieur de l’étui.
    Protection mécanique : l’antenne de la carte sans contact ne peut pas être pliée, elle est intégralement protégée.
    Facilité et rapidité : la transaction est validée par le glissement « aller/retour » du couvercle permettant l’extraction partielle de la carte sur une course prédéterminée.
    Conforme aux normes ISO 14443 et ISO 15693
  • GPS
  • Implants
  • On peut se faire facilement piéger, les occasions sont nombreuses
  • SCAM
  • Méfiez vous des logiciels gratuits
  • Des sites de streaming où il faut télécharger un player

  • Selon le virtuel et le réel
  • C’est un objet précieux par lequel se propage la connaissance, le savoir

    Internet est devenu un bien public mondial partagé par l’ensemble de l’humanité dans la diversité de ses cultures, de ses traditions mais aussi de sa démographie et de ses priorités économiques.

  • Cyber attaque #cbc35

    1. 1. Régis LE GUENNEC @regisleguennec
    2. 2. Sécurité numérique Cyber attaque, comment se protéger? Historique, vocabulaire, motivations, risques, techniques et protections
    3. 3. « Or, c'est dans la conscience de son présent que l'individu se construit, pas en le fuyant » Daniel Pennac
    4. 4. « La sécurité est un voyage, pas une destination » Bernard Ourghanlian (Microsoft)
    5. 5. CYBERCRIMINEL
    6. 6. CYBERCRIMINALITE
    7. 7. • Facile à faire • Mondial • Efficace • Organisé • Risque réduit • Profitable
    8. 8. Qui est concerné ?
    9. 9. STATIONS DE TRAVAIL
    10. 10. SERVEURS ET DATACENTER
    11. 11. EQUIPEMENT RESEAU
    12. 12. WIFI
    13. 13. SMARTPHONE
    14. 14. OBJETS CONNECTES
    15. 15. DRONE
    16. 16. SMARTCAR
    17. 17. SMARTCITY
    18. 18. INCROYABLE x5
    19. 19. • Estonie • Vol 5022 • Réseau électrique • Centrale nucléaire Iranienne • Sony Pictures
    20. 20. ESTONIE
    21. 21. Tallinn, capitale de l’Estonie
    22. 22. Soldat de bronze
    23. 23. A partir du 27 avril 2007, et pendant 4 semaines, les sites Internet des banques estoniennes, des médias et des institutions gouvernementales sont fortement perturbés #DDOS Première Cyberguerre de l’histoire
    24. 24. VOL 5022 SPANAIR
    25. 25. Volets et becs de bord d'attaque non déployés, absence d’alarme Le serveur central était contaminé par des logiciels malveillants
    26. 26. Panne électrique • 2003 US Northeast Blackout? NORTHEAST BLACKOUT Panne de courant nord-américaine de 2003
    27. 27. Il s'agit de la plus grande catastrophe énergétique de l'histoire du continent, les dommages s'élevant à environ six milliards de dollars américains
    28. 28. 2005 Brazil? 2005 Los Angeles? 2015 Turquie?
    29. 29. IRAN Centre d’enrichissement
    30. 30. Infrastructures SCADA Interfaces permettant de piloter à distance des infrastructures industrielles
    31. 31. 9000 centrifugeuses détruites
    32. 32. 6000 fichiers NDA, …
    33. 33. On parle de 500 M de dollars de perte
    34. 34. Pyongyang
    35. 35. Qui est concerné ?
    36. 36. • Particulier • Entreprise • Institution, organisation, Etat
    37. 37. Gouvernement (27%) Industrie (25%) Finance (15%) Organisations (8%) Medias (6%) Education (5%) Particuliers (3%)
    38. 38. PARTICULIERS
    39. 39. • Arnaque et chantage • Usurpation d’identité • PC vampirisé • Espionnage via webcam • Vol/perte de données personnelles (bancaire, mot de passe, photo…)
    40. 40. Cloud
    41. 41. CELEBGATE
    42. 42. ENTREPRISE
    43. 43. Sur 500 chefs d'entreprises interviewés, 46% placent le cyber-risque parmi leurs préoccupations majeures
    44. 44. « Un grand groupe devrait dépenser entre 8 et 11 % de son budget informatique en sécurité. On est loin du compte. Aujourd'hui, on est à 3 ou 4 % » Jean-Michel Orozco, d'Airbus CyberSecurity,
    45. 45. BANCAIRE
    46. 46. Les banques considèrent désormais la lutte contre la cybercriminalité comme l'une de leurs principales priorités
    47. 47. FINANCIER
    48. 48. 93% des sociétés de services financiers dans le monde ont subi des cyber-menaces, au cours des 12 derniers mois
    49. 49. ASSURANCE
    50. 50. • Sabotage industriel • Rançonnage • Détournement (site, réseaux sociaux) • Vols de données confidentielles (brevet et R&D, stratégie, clients, …) • Piratage de la Téléphonie (appel vers l’étranger, service surtaxé, …) • Virement frauduleux Conséquences
    51. 51. « L’informatique industrielle n’a pas été pensée pour un monde connecté »
    52. 52. SCADA SCADA (Supervisory Control And Data Acquisition) ou Système d’acquisition et de contrôle des données
    53. 53. O.I.V. Un 0pérateur d’Importance Vitale est une organisation identifiée par un État comme ayant des activités d'importances vitales
    54. 54. • Secteurs étatiques • Secteurs de la protection des citoyens • Secteurs de la vie économique et sociale
    55. 55. ANSSI
    56. 56. QUI SONT CES HACKERS
    57. 57. Désigne un virtuose pouvant intervenir dans différents domaines (informatique, électronique, robotique, …)
    58. 58. TECH MODEL RAILROAD CLUB
    59. 59. FOUINEUR
    60. 60. BIDOUILLEUR
    61. 61. BRICOLEUR CREATIF
    62. 62. « Si vous faites chauffer de l’eau dans votre cafetière pour faire cuire des saucisses, c’est une forme de hacking. Parce que vous détournez la technologie. Elle n’est plus utilisée pour son usage premier, mais pour ce qui vous est le plus utile » Andy M.
    63. 63. ETHICAL HACKER C’est un terme qui définit les valeurs et la philosophie de la communauté des hackers
    64. 64. ETHIQUE
    65. 65. Toute information est par nature libre
    66. 66. Ne pas se fier à l'autorité, promouvoir la décentralisation
    67. 67. Les hackers peuvent se juger par leurs prouesses, non par d'autres hiérarchies sociales
    68. 68. Art et beauté peuvent être créés avec un ordinateur.
    69. 69. BIONICOHAND Les ordinateurs peuvent changer et améliorer la vie. Nicolas Huchet, alias Bionicohand
    70. 70. JOHN DRAPER Roi des nerds, l‘un des premiers dans l‘histoire du piratage mondial
    71. 71. BLUE BOX
    72. 72. HACKER vs CRACKER
    73. 73. LES PIRATES
    74. 74. LES MOTIVATIONS
    75. 75. • Caractère stratégique • Caractère idéologique • Caractère politique • Caractère terroriste • Caractère cupide • Caractère ludique • Caractère vengeur
    76. 76. L’ARGENT
    77. 77. #cyber-délinquant SCRIPTKIDDIE ou Lamer
    78. 78. PROFILS
    79. 79. • Agresseurs • Fraudeurs • Employés malveillants (Insiders) • Militants • Espions • Terroristes
    80. 80. 3 POPULATIONS
    81. 81. ACTIVISTE / HACKTIVISTE Revendication / protestation / vandalisme
    82. 82. CYBER COMBATTANT Détruire / Ralentir / Tuer
    83. 83. CYBER CRIMINEL Voler / Arnaquer / Détourner
    84. 84. 2 camps White Hat - Black Hat
    85. 85. BLACK HAT
    86. 86. Black hat SEO
    87. 87. WHITE HAT
    88. 88. GREY HAT
    89. 89. KEVIN MITNICK
    90. 90. VOCABULAIRE
    91. 91. VIRUS Un virus informatique est un automate auto réplicatif à la base non malveillant Ils sont conçus pour se propager en s'insérant dans des logiciels légitimes, appelés « hôtes »
    92. 92. VER Ou worm
    93. 93. Un ver est un programme qui peut s'auto reproduire sur le réseau Les vers ("worms") sont donc des virus avec leur propre véhicule.
    94. 94. SPYWARE
    95. 95. ADWARE
    96. 96. MALWARE Contraction de " malicious software " sont des programmes spécifiquement conçus pour endommager ou entraver le fonctionnement normal d'un ordinateur
    97. 97. RANSOMWARE « Le but ici est de crypter les données de l’utilisateur pour ensuite le rançonner »
    98. 98. CRYPTOLOCKER
    99. 99. Méthodes
    100. 100. ATTAQUE PASSIVE
    101. 101. ATTAQUE ACTIVE
    102. 102. Mot de passe « felix » Identifiant « régis »
    103. 103. Pour le compte « Régis » Est-ce le mot de passe « felix » ?
    104. 104. OUI,j’ai bien le mot de passe « felix » en face de « régis »
    105. 105. NON,Je n’ai pas le mot de passe « felix » dans mon système
    106. 106. Est-ce le mot de passe « toto » ? Est-ce le mot de passe « 1234 » ? Est-ce le mot de passe « azerty » ? Est-ce le mot de passe « password » ? …
    107. 107. • moulinet : 13 minutes pour cracker ce mot de passe • Moulinet : 2 jours • Moulin3t : 10 jours • Moulin3t# : 12 ans • Moulin3t@Paulo : 32 milliards d’années
    108. 108. EXEMPLE : FRAC
    109. 109. • Force brute • « Déni de Service distribué » (dDOS) • « Ping de la mort » • « Goutte d’eau » • La modification des messages • La tromperie ou la mascarade • L'homme au milieu • Le phishing • Le pharming • Injection SQL/ XSS • …
    110. 110. L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité.
    111. 111. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, …
    112. 112. JEU
    113. 113. Quelle est ta ville de naissance ?
    114. 114. 83411 PMDTbP0LZxu03SwrFUvYGA== ****************
    115. 115. PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “Un logiciel célèbre” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “Pour traiter mes photos” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “De la famille Adobe” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “Commence par un P” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..” PMDTbP0LZxu03SwrFUvYGA== “………..”
    116. 116. LES OUTILS
    117. 117. Contrairement aux idées reçues, pour devenir hackeur, nul besoin d’être un génie de l’informatique. Les outils de piratage sont disponibles sur Internet, gratuitement ou pour des sommes modiques.
    118. 118. 1. Scan 2. Vulnérabilité 3. Exploit
    119. 119. « Le Google hacking est une technique consistant à utiliser un moteur de recherche, en vue de chercher des vulnérabilités ou de récupérer des données sensibles »
    120. 120. 1.“Index of /admin” 2. “Index of /password” 3. “Index of /mail” 4. “Index of /” +passwd 5. “Index of /” +password.txt 6. “Index of /” +.htaccess 7. index of ftp +.mdb allinurl:/cgi-bin/ +mailto 8. administrators.pwd.index 9. authors.pwd.index 10. service.pwd.index 11. filetype:config web 12. gobal.asax index 13. allintitle: “index of/admin” 14. allintitle: “index of/root” 15. allintitle: sensitive filetype:doc 16. allintitle: restricted filetype :mail 17. allintitle: restricted filetype:doc site:gov 18. inurlasswd filetype:txt 19. inurl:admin filetype:db 20. inurl:iisadmin 21. inurl:”auth_user_file.txt” 22. inurl:”wwwroot/*.” 23. top secret site:mil 24. confidential site:mil 25. allinurl: winnt/system32/ (get cmd.exe) 26. allinurl:/bash_history 27. intitle:”Index of” .sh_history 28. intitle:”Index of” .bash_history 29. intitle:”index of” passwd 30. intitle:”index of” people.lst 31. intitle:”index of” pwd.db 32. intitle:”index of” etc/shadow 33. intitle:”index of” spwd 34. intitle:”index of” master.passwd 35. intitle:”index of” htpasswd 36. intitle:”index of” members OR accounts 37. intitle:”index of” user_carts OR user_cart 38. ALTERNATIVE INPUTS==================== 39. _vti_inf.html 40. service.pwd
    121. 121. "index of" inurl:wp-content/ "inurl:"/wp-content/plugins/wp-shopping-cart/" "inurl:wp-content/plugins/wp-dbmanager/”
    122. 122. intext:"WordPress SEO plugin v1.7.1"
    123. 123. Et restez cachés !
    124. 124. Comment ils vous arnaquent ? • En pratiquant le Phishing via du spam • En utilisant les failles #ZeroDay • En pratiquant la ruse via l’ingenierie sociale • En vous demandant de télécharger un fichier • …
    125. 125. CONSEQUENCES Quelles sont les conséquences d’une cyber attaque ?
    126. 126. • Home page taguée • Demande de rançon • Création d’énorme Botnet #ddos #spam #cloud • Récupération de données confidentielles/personnelles • Hébergement de fichiers/pages illicites • Effacement et fuite/divulgation de fichiers • Système saturé, détruit, détourné • Ecouter/espionner les communications • Certains visiteurs d’un site web sont infectés
    127. 127. DARKNET Le Darknet aussi parfois appelé réseau Friend-to-Friend (F2F) A l’origine pour préserver la confidentialité des échanges et des données (dissident, journaliste)
    128. 128. 500 fois plus important
    129. 129. Le web profond (invisible ou caché …en anglais Deep web) est la partie de la Toile accessible en ligne, mais non indexée par des moteurs de recherche classiques généralistes
    130. 130. The Onion Router L’extension des pages du Darknet se termine en .onion
    131. 131. USA : 4 $ EU : 20 $
    132. 132. Gwapo's DDOS 10 à 50 $ / h
    133. 133. REACTION
    134. 134. • Comportementale • Organisationnelle • Technique POSTURES
    135. 135. Comportementale
    136. 136. • Veille • S’informer • Se former • Limiter les risques • Vigilent
    137. 137. Organisationnelle
    138. 138. • Charte informatique • Clause particulière dans le contrat du DSI • Règlement sur l’usage personnel des TIC dans un cadre professionnel • politique de mot de passe, droit d’accès aux données (principe du moindre privilège), • Plan de Reprise d’Activité
    139. 139. Technique
    140. 140. • Mise à jour du SI • Réseau(x) cloisonné(s) • SSL • Système IDS / IPS • Audit externe par des experts #pentest
    141. 141. COMMENT SE PROTEGER ?
    142. 142. OFF Line
    143. 143. On réfléchit d'abord, on clique ensuite
    144. 144. La sécurité par l’obscurité
    145. 145. Posséder un antivirus … à jour
    146. 146. Activer le pare feu
    147. 147. Mettre à jour son système d’exploitation
    148. 148. Mettre à jour ses programmes
    149. 149. Sauvegarder régulièrement et automatiquement
    150. 150. Un mot de passe bien forgé
    151. 151. Ne pas utiliser le même mot de passe partout
    152. 152. Double identification
    153. 153. Ne communiquez jamais votre mot de passe
    154. 154. Limiter ses informations personnelles sur les réseaux sociaux
    155. 155. Supprimer les plugins et les programmes non utilisés ou inutiles
    156. 156. MOT DE PASSE
    157. 157. RECETTE
    158. 158. 9 caractères minimum - un chiffre - 1 ou 2 caractères spéciaux - une majuscule ROBUSTESSE
    159. 159. « 91% des internautes utilisent l'un des 1.000 mots de passe les plus courants »
    160. 160. 5 recettes pour vous aider
    161. 161. 1.La passphrase « L’hiver j’aime aller au ski avec mes enfants »
    162. 162. 2. Le mot de passe composé « _Jule # Jule_ »
    163. 163. 3. La substitution Remplacer « a » par « @ » ou « o » par « 0 » … « R@z0ir »
    164. 164. 4. Le mot de passe « dessiné » ou ASCII Art ALPHA = « /||_P|-|/| » |_ = L |-| = H
    165. 165. 5. La passphrase hachée • Choisissez une phrase • Prenez la première lettre de chaque mot • Ajouter quelques chiffres et symboles.
    166. 166. • « L’hiver j’aime aller au ski avec mes enfants » • Ce qui donne: Lhjaaasame • On ajoute chiffres et symboles « L’hj’aaasam3e » 98 millions d’années 5. La passphrase hachée - Exemple
    167. 167. « Les utilisateurs ont en moyenne 25 comptes sur Internet et seulement 6 mots de passe »
    168. 168. Déclinaisons "J'adore mon Canon EOS 300D" sur Flickr.com, "Ras-le-bol des spammeurs" sur GMail.com ou « Lgmf776lpplr&& » sur flickr.com « Lgmg776lpplr&& » sur Viadeo
    169. 169. Sécurité par étage / niveau
    170. 170. My LIFE
    171. 171. Force différente / risque Niveau 1 (faible) lhjaaasame Niveau 2 (moyen) Lhjaaasam3e Niveau 3 (fort) L’hj’@aasam3e Niveau 4 (Extra fort)L776lpplr&&Lgmm776lpplr&&
    172. 172. Récapitulatif d’une bonne stratégie • Classer par importance les sites ou applications où vous avez besoin d’un mot de passe selon 4 catégories • Définir une structure de mot de passe et 4 variantes • 9 caractères dont au moins 1 chiffre, 1 majuscule, 1 caractère spécial • Changer ces mots de passe au moins 1 fois par an • Suivre l’actualité et changer votre mot de passe dès le moindre doute de compromission d’un site • Tester la résistance de vos mots de passe
    173. 173. TESTEZ
    174. 174. EST-IL EN SECURITE ?
    175. 175. 150 millions de mots de passe chiffrés
    176. 176. 6,5 millions de mots de passe chiffrés
    177. 177. VERIFIONS
    178. 178. RECUPERATION
    179. 179. YEAHHHH
    180. 180. AIIIEEE !!!
    181. 181. A suivre
    182. 182. Mot de passe wifi récupérable et non chiffré
    183. 183. ET DEMAIN ? Pour en finir avec le mot de passe, pourquoi ne pas utiliser le corps humain ?
    184. 184. « avaler son mot de passe »
    185. 185. PROCHAIN EPISODE
    186. 186. NFC … Nouvel eldorado des pickpockets 2.0 ?
    187. 187. Protège carte blindé
    188. 188. CONCLUSION
    189. 189. Bonjour Très Cher, Je tiens dans un premier temps à m’excuser pour cette intrusion dans votre vie même si j’avoue que cela est très important pour moi. Je suis Mr Nathan KELDERMANS, étant âgé et souffrant d’un Cancer à la Gorge depuis quelques années et que mes jours sont comptés du fait de mon état de santé assez dégradé. Je suis veuf, mon seul enfant que j’avais est décédé depuis peu dans un accident de voiture. Au fait, la raison pour laquelle je vous contacte est que je souhaite vous faire Don d’une partie de mes biens vu que je n’ai personne qui pourrait en hériter. J’ai vendu toutes mes affaires. Une grosse partie de tous ces fonds récoltés a été versée auprès de différentes associations à caractères humanitaires un peu partout dans le monde. Pour ce qui est du reste de la somme qui s’élève exactement à 2.840.000 € présentement sur un Compte Personnel Bloqué, mon dernier souhait serait de vous en faire Don afin que vous puissiez investir dans votre secteur d’activité et surtout dans l’humanitaire. Je suis tout à fait conscient de ce que je compte faire et je crois malgré le fait que nous ne nous connaissons pas, que vous saurez faire bon usage de cette somme. Je vous prie donc de bien vouloir accepter ce legs sans toutefois ne rien vous demander en retour si ce n’est de toujours penser qu’à faire le bien autour de vous. Ceci dit, étant rassuré d’être tombé sur une personne responsable et surtout de Bonne Foi, je vous demanderais de bien vouloir me recontacter au plus vite afin de vous donner plus d’explications sur les motifs de mon geste et sur le déroulement des choses. Chaleureusement, Monsieur Nathan KELDERMANS
    190. 190. Comportements différents entre monde Réel / Virtuel
    191. 191. « Internet est un bien public mondial, … c’est un objet précieux »
    192. 192. 340 FIN / MERCI

    ×