La sécurité informatique

1. MANSOURI SEIFEDDINE FERJANI SABER 8 février 2012

2. 1. 2. 3. 4. 5. 6. Introduction Motivation Types de menaces Cryptologie Entretien à l’ANSI Contre mesures 2

3.     Protéger la réputation Satisfaire aux exigences légales Eviter des pertes financières La sécurité = {mesures} permettant d’assurer la protection de l’information & Systèmes Interception: vise la confidentialité des informations  Modification: vise l’intégrité des informations  Interruption: vise la disponibilité des informations  Fabrication: vise l’authenticité des informations  3

4.  Externes       Pirates Saboteurs Concurrents Anciens employés Organisations criminelles Internes Employés mécontents  Fraudeurs  Complices / Espions  Innocents employés  4

5. Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact. Risque = Vulnérabilité  Menace  Impact Contre mesure Vulnérabilité: Clés sous le tapis. Impact: Cambrioleur casse Menace: Cambrioleur essaie d’entrer. l’armoire, vole de l’argent, crée des ennuis. 5

6. SINON??? 6

8.     Le gain financier: Récupération de num de cartes bancaires, ... Vengeance: Site www.aljazeera.net lors de la couverture de la guerre d'irak Curiosité: Attaques d'étudiants du MIT sur le premier ordinateur IBM 704 au MIT en 1959. Recherche d'émotions fortes 8

10. Stuxnet est un ver de complexité très inhabituelle pour un malware. Il a été décrit par différents experts comme une cyber arme, conçue pour attaquer une cible industrielle déterminée. Il s'agirait d'une première dans l'histoire. Découvert en juin 2010, il a affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran. Le général israélien Gabi Ashkenazi a affirmé, lors de son départ à la retraite, être le père du ver Stuxnet. 11

11. http://www.youtube.com/watch?v=7g0pi4J8au Q&feature=youtube_gdata_player 12

13. 1. • • • • • 2. • • • • • Programmes malveillants Virus Vers Spyware porte dérobée/Backdoors Cheval de Troie Techniques d’attaques ARP/DNS Poisoning Phishing Injection Déni de services IP Spoofing 14

14. Un virus est un logiciel qui s’attache à tout type de document électronique, et dont le but est d’infecter ceux-ci et de se propager sur d’autres documents et d’autres ordinateurs. Un virus a besoin d’une intervention humaine pour se propager. 15

15. Un ver se reproduit en s’envoyant à travers un réseau (e-mail, Bluetooth, chat..) Le ver n’a pas besoin de l’interaction humaine pour pouvoir se proliférer 16

16. Les spywares sont des logiciels parasites indétectables. Ils n'ont pas une action destructive (comme les virus), mais servent à espionner vos habitudes et vos "besoins", pour des buts "commerciaux malsains". 17

17. Programme bénin (jeux, documents…) cachant un autre programme. Lorsque le programme est exécuté, le programme caché s’exécute aussi et pourrait ouvrir une « porte cachée ». 18

18. Moyen de contourner les mécanismes de sécurité ; il s’agit d’une faille du système de sécurité due à une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier). Ces passages secrets sont ménagés par les concepteurs de logiciels pour fournir des accès privilégiés pour les tests ou la maintenance. 19

19.    Code malicieux permettant à un attaquant de maintenir en temps réel un accès frauduleux à un système informatique, se greffant généralement dans le noyau du système d'exploitation. A la différence d'un virus ou d'un ver, un rootkit ne se réplique pas. Agit sur une machine déjà compromise. Il est utilisé dans une étape après intrusion et l'installation d'une porte dérobée pour cacher tous les changements effectués lors de l'intrusion afin de préserver l'accès à la machine. 20

20. 1. • • • • • 2. • • • • • Programmes malveillants Virus Vers Spyware porte dérobée/Backdoors Cheval de Troie Techniques d’attaques ARP/DNS Poisoning Phishing Injection Déni de services IP Spoofing 21

21. L'objectif de l'attaque consiste à s'interposer entre deux machines du réseau et de transmettre à chacune un paquet falsifié indiquant que l'adresse MAC de l'autre machine a changé, l'adresse ARP fournie étant celle de l'attaquant. De cette manière, à chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice. 22

22. L'«usurpation d'adresse IP» (spoofing IP) est une technique consistant à remplacer l'adresse IP de l'expéditeur IP par l'adresse IP d'une autre machine. En effet, un système pare-feu fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées à communiquer avec les machines internes au réseau. L’usurpation d’IP permet de contourner le mur de feu. 23

23. Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et sera relayé à la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejeté par le pare-feu. 24

24. Le phishing traduit parfois en «hameçonnage», est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. La technique du phishing est une technique d'ingénierie sociale, c'est-àdire consistant à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce. 25

25. Une « attaque par déni de service » est un type d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent être utilisés et consultés, On distingue deux types:  Les dénis de service par saturation  Les dénis de service par exploitation de vulnérabilités 26

26. 27

27. Une faille d'injection, telle l'injection SQL, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées. 28

28. Le cross-site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d'informations, etc.). Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X étant une abréviation commune pour « cross » (croix) en anglais. 29

29. 30

30. Le dépassement de tampon ou débordement de tampon (en anglais, buffer overflow) est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Lorsque le bug se produit non intentionnellement, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système. 31

31. Un pirate peut craquer (cible) le mot de passe de la session. Mais si vous choisissez un mot de passe robuste, cela lui prendra beaucoup de temps. Alors pourquoi ne pas attendre que la victime se connecte sur la session et prendre sa place ? 32

32. 33

34.     Toute information circulant sur Internet peut être capturée et enregistrée et/ou modifiée Problème de confidentialité et d’intégrité Toute personne peut falsifier son adresse IP (spoofing) ce qui engendre une fausse identification Problème d’authentification 35

35. La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages en s'aidant souvent de secrets ou clés. La cryptanalyse est la science qui consiste à tenter de déchiffrer un message ayant été chiffré sans posséder la clé de chiffrement. 36

36.  Algorithmes de chiffrement faibles   Algorithmes de cryptographie symétrique   Chiffre de Vernam, DES, 3DES, AES, RC4, RC5 Algorithmes de cryptographie asymétrique   ROT13, Chiffre de César, Chiffre de Vigenère. RSA (chiffrement et signature), DSA (signature) Diffie-Hellman (échange de clé) Fonctions de hachage  MD5, SHA-1, SHA-256 ; 37

37. 38

38.   Utilise des opérations de base: Substitution, Transposition, Opérations algébriques simples DES : Data Encryption Standard    Développé par IBM Utilise des clé de taille 56 bits. AES : Advanced Encryption Standard   Standard cryptographique depuis 2000 Utilise des clés de tailles 128, 192 et 256 bits 39

39.  Chaque personne dispose d’une paire de clé :      Clé privée : connue uniquement par son propriétaire Clé publique : publiée dans des annuaires publiques Si on crypte avec l’une de ces clés le décryptage se fait uniquement avec l’autre Les algorithmes asymétriques sont des fonctions mathématiques basées sur des problèmes mathématiques très compliqués La résolution de ces problèmes est pratiquement impossible sans connaître un paramètre (l’une des clés) 40

40. Ce mode assure la confidentialité des données 41

41. Ce mode assure l’authenticité de l’émetteur 42

42.     Fonctions à sens unique : pour un entier x, il est simple de calculer H(x), mais étant donner H(x), il est pratiquement impossible de déterminer x La fonction de hashage permet d’extraire une empreinte qui caractérise les données Une empreinte a toujours une taille fixe indépendamment de la taille des données Il est pratiquement impossible de trouver deux données ayant la même empreinte 43

43. Exemples: • MD5 : Message Digest 5 (empreinte de taille 128 bits) • SHA-1 : Secure Hash algorithm (empreinte de taille 160 bits) 44

44. Les crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle Attack  Solution : Certificats électroniques 45

45. D'après Zimmermann : « Que se passerait-il si tout le monde estimait que les citoyens honnêtes devraient utiliser des cartes postales pour leur courrier ? Si un non-conformiste s’avisait alors d’imposer le respect de son intimité en utilisant une enveloppe, cela attirerait la suspicion. Peut-être que les autorités ouvriraient son courrier pour voir ce que cette personne cache. De la même manière, ce serait excellent si tout le monde utilisait la cryptographie de manière systématique pour tous ses e-mails, qu’ils soient innocents ou non, de telle sorte que personne n’attirerait la suspicion en protégeant l’intimité de ses e-mails par la cryptographie. Pensez à le faire comme une forme de solidarité. »  46

46.          L'analyse fréquentielle L'indice de coïncidence L'attaque par mot probable L'attaque par dictionnaire L'attaque par force brute Cryptanalyse linéaire Cryptanalyse différentielle Cryptanalyse différentielle-linéaire Cryptanalyse quadratique et modulo N 47

47.   En 2005, une équipe du FBI des États-Unis d'Amérique fit la démonstration qu'il est possible de pénétrer un réseau protégé par du WEP en 3 minutes en utilisant des outils disponibles publiquement (Aircrack) Depuis juillet 2006, il est possible de pénétrer les réseaux protégés par WEP en quelques secondes seulement, en tirant parti de la fragmentation des paquets pour accélérer le cassage de la clé. 48

48. En novembre 2008, deux chercheurs allemands en sécurité ont annoncé avoir découvert une faille de sécurité dans le mécanisme de sécurité WPA utilisé avec l'algorithme TKIP. A la fin du mois d'août 2009, deux japonais mettent au point une attaque permettant, en une minute, de falsifier des paquets de type ARP ou DNS. Celle-ci utilise une amélioration de l'attaque Beck-Tews en la combinant à une attaque de type "middle-man". 49

50. 51

51.   Un CSIRT est une équipe d’experts en sécurité informatique ayant pour mission principale de répondre aux incidents en proposant les services nécessaires au traitement des attaques et en aidant leurs parties prenantes à restaurer les systèmes qui en ont fait l’objet. Ils publient des bulletins et avis de vulnérabilités concernant les logiciels et matériels en usage, et informent les utilisateurs des exploits et virus tirant parti des failles constatées. 52

52.    Bande passante : 37 Gbps 10395 sites 447 009 abonnés Année Plage IP Nombre 2000 193.95.0.0 - 193.95.127.255 32768 2002 196.203.0.0 - 196.203.255.255 98304 2005 213.150.160.0 - 213.150.191.255 106496 2007 41.224.0.0 - 41.231.255.255 630784 2010 197.0.0.0 - 197.31.255.255 2727936 53

53. 54

54.  Mr. Hassen BAHRI  Manager du tunCERT      NACS (2002 – 2005) ENSI (1999 – 2002 ) IPEIT (1997 – 1999 ) Date de l’entretien: 27 janvier 2012 Durée: 1H30 tunCERT-Tunisian Computer Emergency Response Team Agence Nationale de la Sécurité Informatique Ministère des technologies de l'information et de la communication Adresse: 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie Tel: 71 843 200 Fax: 71 846 363 Site web: www.ansi.tn 55

56. Sécurité Organisationnelle Sécurité des utilisateurs Sécurité Applicative Sécurité des serveurs La sécurité réseau 57

57.    La mise à jour du système d’exploitation et même pour les systèmes mobiles afin de s’assurer de l’absence de toute faille connue qui pourrait être utilisée par des pirates ou par des virus. La mise à jour de l’antivirus. Vérifiez s’il y a des symptômes indiquant que votre ordinateur est infecté ou non (Lenteur anormale, paramètres systèmes modifiés, redirection du navigateur vers des sites non sollicités, affichage de Popup, endommagement de fichier, logiciel qui fonctionne anormalement). Au cas échéant lancez un scan antiviral complet sur votre disque. 58

58.       Sauvegarde régulière de vos fichiers sensibles sur des supports amovibles. Ne pas installer des logiciels douteux, et notamment ceux de partage de fichiers ou de contrôle de PC à distance. Eviter la navigation sur les sites douteux, surtout ceux qui offrent des logiciels craqués ou à contenu indécent. Utiliser des mots de passe robustes et difficiles à deviner. N’oublier pas de les changer périodiquement ou en cas de soupçon. Hors d’usage, il faut éteindre l’ordinateur. Avoir le bon réflexe en cas d’incident : déconnectez votre PC, lancez un scan antiviral et contacter le tunCERT pour demander de l’assistance. 59

59.        S’assurer de la sécurité au niveau de la plateforme d’hébergement ou déléguer cette tâche à votre hébergeur. Vérifier le déploiement des solutions de sécurité nécessaires: contrôle antiviral, filtrage, détection d’intrusion et filtrage applicatif. S’assurer de l’utilisation des dernières versions des systèmes de gestion de contenu (CMS comme Joomla, Drupal, WordPress, Typo3), si le cas se présente. Auditer votre application web pour identifier les failles qui peuvent être exploitées, en faisant appel à un expert dans le domaine si c’est possible. Appliquer les bonnes règles de gestion : Contrôle d’accès à la zone d’administration, gestion de mots de passe, vérification des logs, sauvegarde des données, plan de secours en cas de problème majeur, utilisation des protocoles sécurisés pour l’administration à distance (HTTPS, SSH, SCP). Avoir une procédure de veille pour s’informer sur les nouvelles failles et appliquer les correctifs en un temps optimal (mailing-list du tunCERT). Vérifier la sécurité de votre poste d’administration. 60

60.    www.securinets.com www.honeynet.tn www.ansi.tn 61

La sécurité informatique

La sécurité informatique

Recommandé

Contenu connexe

Tendances

Tendances(20)

Similaire à La sécurité informatique

Similaire à La sécurité informatique(20)

Plus de Saber Ferjani

Plus de Saber Ferjani(8)

Dernier

Dernier(17)

La sécurité informatique