SlideShare une entreprise Scribd logo
1  sur  43
Télécharger pour lire hors ligne
LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Geeks
Anonymes
LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE
Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivier Bourge 2013
Geeks
Anonymes
« Le système d'information représente un patrimoine essentiel de
l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les ressources
matérielles ou logicielles d'une organisation sont uniquement
utilisées dans le cadre prévu »
(http://www.clusif.asso.fr)
Responsable IT dans
une petite structure ... ?
(c) Pierre-Olivier Bourge 2013
users
parc machines
responsable
sécurité IT
admin système
admin réseau
m
aintenance
helpdesk
pc, mac, linux
brancher les PCs ...
OSes
scripts
et que sais-je encore ...
analyse de
risques
réseau
Geek needed ?
time
ressources
“chef de projet”
“développeur”
La	
  sécurité	
  ?
pour	
  les	
  autres	
  ?
Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
“ 60 % des cas sont liés à de l’espionnage industriel ! ”
Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013)
Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf
La	
  sécurité	
  
informa3que	
  ?
100% security is neither feasible nor the
appropriate goal
(Source : KPMG.nl)
Cyber security will never be “solved” but will be “managed”
(Source : Ravi Sandhu - UTSA Institute for Cyber Security)
(c) Pierre-Olivier Bourge 2013
La	
  sécurité	
  ?
faut-­‐il	
  être	
  parano	
  pour	
  autant	
  ?
non	
  ...	
  mais	
  ne	
  soyez	
  pas	
  naïf	
  !
véridique !
Van Eck phreaking
La	
  sécurité	
  ?
connaissez-­‐vous	
  
ceci	
  ?
Et ses implications ... ?!
Patriot Act
La	
  sécurité	
  ?
Patriot
A
ct
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
IT
(c) Pierre-Olivier Bourge 2013
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
Sécurité Informatique
(c) Pierre-Olivier Bourge 2013
99% of the attacks are thwarted by basic hygiene
and some luck
1% of the attacks are difficult and expensive to
defend or detect
Encore faut-il savoir ce que l’on a à protéger ...
Control,	
  monitor,	
  
and	
  log	
  all	
  access	
  to	
  
protected	
  assets
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
Sécurité Informatique
(c) Pierre-Olivier Bourge 2013
Hardware : budget ?
Software : budget ?
Humain : ressources & aware ?
Environnement : menaces, risques ?
Patriot Act Cloud
S’assurer	
  que	
  tout	
  changement	
  du	
  système	
  ne	
  reme4e	
  pas	
  en	
  
cause	
  les	
  mesures	
  de	
  sécurité	
  établies	
  pour	
  protéger	
  le	
  patrimoine
Disponibilité
Confidentialité
Intégrité
Force probante
Hardware
Software
Humain
Environnement
(c) Pierre-Olivier Bourge 2013
Hardware : budget ?
Software : budget ?
Humain : ressources & aware ?
Environnement : menaces, risques ?
Sécurité Informatique
maillon le plus
faible !
Effective cyber security is less dependent
on technology than you think (KPMG.nl)
Types	
  de	
  risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Vulnerability = leaving your car unlocked
Exposure = thief identifies this and opens
the door.
Risk factor will increase if either factor is
changed
(e.g.. you left your car door unlocked,
with the keys inside, or you leave your
car unattended in a public parking lot vs.
your home garage.)
Risk = Vulnerability * Exposure - Security
Types	
  de	
  risques
Sécurité IT
• Où / quels sont les risques ?
peu importe
Décider :
1) ce qu’il y a à protéger
2) de quoi ?
3) comment ?
Mode : sécurité par
défaut
Risk = Vulnerability * Exposure - Security
Bâtiment, bureaux, armoires,
câbles, ...
Types	
  de	
  risques
port USB : vol de données ?
(juice jacking)
BYOD = BYOD
Sécurité physique :
Chiffrement (“cryptage”)
• depuis l’antiquité
• “masque jetable” (sécurité inconditionnelle = théoriquement incassable)
★ combiné à MQ
• symétrique / asymétrique
★ DES,Triple DES,AES, ... (symétrique), RSA, ... (asymétrique)
• problème :
★ générer clef réellement aléatoire (S/N) [phénomènes physiques]
★ transmettre la clef [valises diplomatiques]
(c) Pierre-Olivier Bourge 2013
Sécurité physique :
Chiffrement (“cryptage”)
• Mac OS X : FileVault 2
• Toutes plateformes :TrueCrypt
www.truecrypt.org
HD ou contenant ...
• Windows : No, No, No !
• Attention à la gestion de la clef !
(c) Pierre-Olivier Bourge 2013
Types	
  de	
  risques	
  :	
  “physique”	
  ...
• PCs/Macs : TrueCrypt / FileVault
• emails : TrueCrypt / OpenPGP / SSL
• protocoles sécurisés : https / ssh
(c) Pierre-Olivier Bourge 2013
Sécurité physique :
Chiffrement (“cryptage”)
Types	
  de	
  risques	
  :	
  “écoute”	
  ...
Sécurité physique :
Effacement sécurisé
• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm,Wipe, etc.
• Windows : utilitaires
Cf. Eraser, CCleaner, SDelete, Piriform,
etc.
(c) Pierre-Olivier Bourge 2013
Types	
  de	
  risques	
  :	
  “après”	
  ...
Sécurité
physique :
Effacement
sécurisé ?
Bâtiment, bureaux, armoires,
câbles, ...
Types	
  de	
  risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
(hardware, software)
Types	
  de	
  risques
• Connexions entrantes
s + sortantes,
• plusieurs routeurs / parefeux
en série (différentes configurations)
• plusieurs réseaux (services)
“déconnectés”
(compartmentalization, Cf. SCADA)
• connexion externe :“min”
• DMZ, IDS, etc.
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav,
VirusBarrier, Sophos,Avira,
McAfee,Avast!, ...
Types	
  de	
  risques
A5en6on	
  !	
  On	
  ne	
  joue	
  pas	
  !
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
access rights (users &
machines), security logs, ...
Types	
  de	
  risques
• No root !
• user is not admin
•“least privilege”
• BYOD = services, ports,
accès, ... : à fermer
• serveurs virtuels
• Security Onion
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, Mac OS, ...
Vous !
Types	
  de	
  risques
humain = le plus difficile
car le plus imprévisible
Vous = humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
e.g. : 5 lettres ou 2 mots du
dictionnaire accolés
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
• informations sensibles
• apprendre à identifier
les risques communs
• que faire ? comment
gérer les informations
sensibles ?
• changement de
comportement
Humain
• Sensibilisation / éducation
★ dangers / risques
★ mots de passe
★ comportement
✦ ! pas uniquement IT
(c) Pierre-Olivier Bourge 2013
Sensibilisations
• “a password is the first
gateway to security
breaches”
• types d’attaques
communes
• comment générer un
bon mot de passe
• comment retenir ses
mots de passe ?
• le BYOD = BYOD
Confidentialité
Mots de passe
Complexité / Changement régulier
Plusieurs !
idéalement un et un seul pour chaque usage
un mot de passe hacké est une faille !
... et s’il donne accès à tout ...
Non accessible par ailleurs !
Comment	
  mémoriser	
  ?
1) fichier ou partition cryptés
règle : avoir un bon mot de passe principal
avoir une bonne encryption du fichier
ou de la partition
le fichier ou la partition contiennent en clair
tous les autres mots de passe
2) outil Norton (ou Keychain Access sur Mac)
Comment mémoriser de manière sécurisée ?
(c) Pierre-Olivier Bourge 2013
Types	
  d’aCaques	
  sur	
  
les	
  mots	
  de	
  passe
1) problème n’est pas tellement à l’identification lors
d’une connexion si
• protocole : sécurisé
• parefeu et services : bien configurés => bloqué
2) problème est plutôt :
• hacker : faille, accès aux clefs/mots de passe sécurisés ?
• combien de temps pour les casser ?
Attaques : où est le problème ?
(c) Pierre-Olivier Bourge 2013
Petite leçon sur le stockage
(hachage) des mots de passe
dans les ordinateurs
(c) Pierre-Olivier Bourge 2013
Stockage	
  mots	
  de	
  
passe
Hash
hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512,
RIPEMD,Whirpool, etc.
Types	
  d’aCaques	
  sur	
  
les	
  mots	
  de	
  passe1) par force brute
teste toutes les combinaisons
[exemple : HpAhTbd6nWx6cCDK]
parade : augmenter la longueur du mot de passe (> 8 !)
2) par dictionnaire
teste les noms communs ou propres, ou les mots de passe les plus courants
[exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...]
parade : éviter les noms communs ou propres, les mots avec un sens
courant
3) par substitution ou insertion
teste des noms substitués ou insérés
[exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...]
parade : éviter les substitutions et les insertions à partir de noms ou de
mots courants
4) par séquence ou inversion de séquences
teste par les séries de chiffres, de caractères
[exemple : 123456, abc123, drow (word), ...]
parade : à éviter absolument
(c) Pierre-Olivier Bourge 2013
Mots de passe (exemples) :
4031
carre
Picarré
hzs!Y%2v
ACaques	
  (force	
  brute)
Temps maximum pour
casser (en force brute)
instantané !
1/100ème seconde !
3 minutes
6 heures
Constante évolution : Hz , CPU => GPU
(c) Pierre-Olivier Bourge 2013
8 caractères aléatoires (Windows XP) en 6 heures pour un hacker !
et c’est même pire ... : e.g. tables arc-en-ciel, etc.
News	
  NSA	
  ?
La	
  NSA	
  peut	
  décoder	
  tout	
  type	
  de	
  communica9on	
  chiffrée	
  ?
Quelques	
  chiffres	
  de	
  puissance	
  de	
  calcul	
  à	
  l’heure	
  actuelle	
  ...
CPUs GFlops X 8 alea (Windows)
Lenovo 2-Core
Mac 4-Core
Top 1-GPU
Hacker 25-GPU
SETI
BOINC
Tianhe-2
3 1 20 d
7 2 10 d
8 3 160 h
175 60 8 h
600.000 200.000 9 s
10.000.000 3.300.000 0,5 s
35.000.000 11.000.000 0,1 s
GFlops days / hours / secondsdays / hours / seconds
Hash
(c) Pierre-Olivier Bourge 2013
Types	
  d’aCaques
5) par séquence au clavier
teste des suites logiques au clavier
[exemple : azerty, azeswxc, vgyrgb, ...]
parade : éviter les substitutions à partir de noms
6) par répétition
teste les répétitions
[exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)]
parade : à éviter (n’apporte rien, augmente le signal dans l’encryption)
7) par ruse
vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe
[exemple : phishing (hameçonnage), attaque “sociale”, ...]
parade : vérifier votre connexion à un site sécurisé,
ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ...
8) par virus
un virus, ver, cheval de troie, etc. ouvre une faille dans le système
[exemple : un fichier corrompu, un programme piraté, keylogger, etc.]
parade : mettre à jour votre anti-virus (fait le reste)
éviter comportements à risque (téléchargements, phishing, etc.)
(c) Pierre-Olivier Bourge 2013
Types	
  d’aCaques
9) par ... etc.
attaques par
tables arc-en-ciels,
“temporelle”,
analyse statistiques,
surchiffrement,
man-in-the-middle,
etc.
parade :
the ability to learn is just as important as the
ability to monitor (KPMG.nl)
(c) Pierre-Olivier Bourge 2013
En conclusion
• Sécurité
★ affaire de tous & pas que IT
★ technique + moi + les autres
★ humain : sensibilisation & éducation
★ vigilance, veille constante
★ évaluer les risques
★ pas parano ... mais pas naïf ...
(c) Pierre-Olivier Bourge 2013
The security policy should primarily be
determined by your goals, not those of
your attackers (KPMG.nl)
Annexes
(c) Pierre-Olivier Bourge 2013
• Comment trouver un bon mot de passe
★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)
★ mnémotechnique (pseudo-aléatoire)
★ générateurs aléatoires (vrai = source de
bruit) : random.org
★ générateurs pseudo-aléatoires (algorithmes)
Types	
  de	
  mots	
  de	
  
passe
1) aléatoire brut
la meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5(
règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués
2) phrase mnémotechnique
pas loin de l’aléatoire brut lorsque suffisamment longue
exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp =>
1Udb.vélp (longueur > 8 OK)
règle : initiales des mots, insérer chiffres, ponctuations, etc.
Types
(c) Pierre-Olivier Bourge 2013
Types	
  de	
  mots	
  de	
  
passe
3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri
NOK ! Attaque par dictionnaire et substitution
4) style SMS
trop variable : si très condensé OK si phrase longue mais sinon ... ?
Bof ! Attaque par dictionnaire et substitution
Types
(c) Pierre-Olivier Bourge 2013
Types	
  de	
  mots	
  de	
  
passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M
=> Banque : BU1CA:evd2!a
OK à Bof ! Force brute puis décode tout facilement ...
Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8)
6) se méfier des sites non professionnels
exemple : le site références
Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ?
Types
(c) Pierre-Olivier Bourge 2013

Contenu connexe

Tendances

La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
1 réseaux et protocoles-sécurité-partie 1 v2
1   réseaux et protocoles-sécurité-partie 1 v21   réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
 

Tendances (19)

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Audit
AuditAudit
Audit
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Les malwares
Les malwaresLes malwares
Les malwares
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
1 réseaux et protocoles-sécurité-partie 1 v2
1   réseaux et protocoles-sécurité-partie 1 v21   réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 

En vedette

#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
NetSecure Day
 

En vedette (20)

#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données
 
#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
 

Similaire à La sécurité informatique pour une petite équipe

Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 
Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016
Jérôme aka "Genma" Kun
 

Similaire à La sécurité informatique pour une petite équipe (20)

La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
 
annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Chasse aux menaces - Hackfest Decate (2018)
Chasse aux menaces - Hackfest Decate (2018)Chasse aux menaces - Hackfest Decate (2018)
Chasse aux menaces - Hackfest Decate (2018)
 
Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Securite
SecuriteSecurite
Securite
 

Plus de Interface ULg, LIEGE science park

Plus de Interface ULg, LIEGE science park (20)

20191129 - le point-diagnostic-pi - picarre
20191129 - le point-diagnostic-pi - picarre20191129 - le point-diagnostic-pi - picarre
20191129 - le point-diagnostic-pi - picarre
 
2019 09 26 - le point - Convaincre son banquier
2019 09 26 - le point - Convaincre son banquier2019 09 26 - le point - Convaincre son banquier
2019 09 26 - le point - Convaincre son banquier
 
2019 03 29_ le point_EUREKA_SPW
2019 03 29_ le point_EUREKA_SPW2019 03 29_ le point_EUREKA_SPW
2019 03 29_ le point_EUREKA_SPW
 
Réforme code des sociétés - Le Point du LIEGE science park - 25 janvier 2019
Réforme code des sociétés - Le Point du LIEGE science park - 25 janvier 2019Réforme code des sociétés - Le Point du LIEGE science park - 25 janvier 2019
Réforme code des sociétés - Le Point du LIEGE science park - 25 janvier 2019
 
20181130 le point-innovatech-analyse multicritere
20181130 le point-innovatech-analyse multicritere20181130 le point-innovatech-analyse multicritere
20181130 le point-innovatech-analyse multicritere
 
20181026 - le point - incitants fiscaux R&D - MoneyOak
20181026 - le point - incitants fiscaux R&D - MoneyOak20181026 - le point - incitants fiscaux R&D - MoneyOak
20181026 - le point - incitants fiscaux R&D - MoneyOak
 
SISEM, motivation des équipes projets - Le Point du LIEGE science park - 30 m...
SISEM, motivation des équipes projets - Le Point du LIEGE science park - 30 m...SISEM, motivation des équipes projets - Le Point du LIEGE science park - 30 m...
SISEM, motivation des équipes projets - Le Point du LIEGE science park - 30 m...
 
Aides à l'Innovation de la Région Wallonne - Le Point du LIEGE science park -...
Aides à l'Innovation de la Région Wallonne - Le Point du LIEGE science park -...Aides à l'Innovation de la Région Wallonne - Le Point du LIEGE science park -...
Aides à l'Innovation de la Région Wallonne - Le Point du LIEGE science park -...
 
Protocole NAGOYA - Le Point du LIEGE science park - 27 octobre 2017
Protocole NAGOYA - Le Point du LIEGE science park - 27 octobre 2017Protocole NAGOYA - Le Point du LIEGE science park - 27 octobre 2017
Protocole NAGOYA - Le Point du LIEGE science park - 27 octobre 2017
 
Actifs immatériels - enjeux levée de fonds - Le Point du LIEGE science park -...
Actifs immatériels - enjeux levée de fonds - Le Point du LIEGE science park -...Actifs immatériels - enjeux levée de fonds - Le Point du LIEGE science park -...
Actifs immatériels - enjeux levée de fonds - Le Point du LIEGE science park -...
 
Incitants fiscaux R&D - Le Point du LIEGE science park - 19 mai 2017
Incitants fiscaux R&D - Le Point du LIEGE science park - 19 mai 2017Incitants fiscaux R&D - Le Point du LIEGE science park - 19 mai 2017
Incitants fiscaux R&D - Le Point du LIEGE science park - 19 mai 2017
 
20170428 - Le Point - Protection des données à caractère personnel - CRIDS
20170428 - Le  Point - Protection des données à caractère personnel - CRIDS20170428 - Le  Point - Protection des données à caractère personnel - CRIDS
20170428 - Le Point - Protection des données à caractère personnel - CRIDS
 
Intelligence artificielle - juridique - Le Point du LIEGE science park - 31 m...
Intelligence artificielle - juridique - Le Point du LIEGE science park - 31 m...Intelligence artificielle - juridique - Le Point du LIEGE science park - 31 m...
Intelligence artificielle - juridique - Le Point du LIEGE science park - 31 m...
 
20170224_Le Point_valoriser une entreprise technologique_deloitte
20170224_Le Point_valoriser une entreprise technologique_deloitte20170224_Le Point_valoriser une entreprise technologique_deloitte
20170224_Le Point_valoriser une entreprise technologique_deloitte
 
The competencies of the University of Liège for the aerospace cluster SKYWIN
The competencies of the University of Liège for the aerospace cluster SKYWINThe competencies of the University of Liège for the aerospace cluster SKYWIN
The competencies of the University of Liège for the aerospace cluster SKYWIN
 
Impression 3D et droit des marques _ Le Point du LiEGE science park _ 27 janv...
Impression 3D et droit des marques _ Le Point du LiEGE science park _ 27 janv...Impression 3D et droit des marques _ Le Point du LiEGE science park _ 27 janv...
Impression 3D et droit des marques _ Le Point du LiEGE science park _ 27 janv...
 
ULg-Skywin - Multibody & mechatronic systems laboratory - MMS
ULg-Skywin - Multibody & mechatronic systems laboratory - MMSULg-Skywin - Multibody & mechatronic systems laboratory - MMS
ULg-Skywin - Multibody & mechatronic systems laboratory - MMS
 
ULg-Skywin - Modelling for aquatic systems - MAST
ULg-Skywin - Modelling for aquatic systems - MASTULg-Skywin - Modelling for aquatic systems - MAST
ULg-Skywin - Modelling for aquatic systems - MAST
 
ULg-Skywin - Microsys
ULg-Skywin - MicrosysULg-Skywin - Microsys
ULg-Skywin - Microsys
 
ULg-Skywin - Lentic
ULg-Skywin - LenticULg-Skywin - Lentic
ULg-Skywin - Lentic
 

La sécurité informatique pour une petite équipe

  • 1. LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013 Geeks Anonymes
  • 2. LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013 Geeks Anonymes « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » (http://www.clusif.asso.fr)
  • 3. Responsable IT dans une petite structure ... ? (c) Pierre-Olivier Bourge 2013 users parc machines responsable sécurité IT admin système admin réseau m aintenance helpdesk pc, mac, linux brancher les PCs ... OSes scripts et que sais-je encore ... analyse de risques réseau Geek needed ? time ressources “chef de projet” “développeur”
  • 4. La  sécurité  ? pour  les  autres  ? Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
  • 5. “ 60 % des cas sont liés à de l’espionnage industriel ! ” Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013) Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf La  sécurité   informa3que  ? 100% security is neither feasible nor the appropriate goal (Source : KPMG.nl) Cyber security will never be “solved” but will be “managed” (Source : Ravi Sandhu - UTSA Institute for Cyber Security) (c) Pierre-Olivier Bourge 2013
  • 6. La  sécurité  ? faut-­‐il  être  parano  pour  autant  ? non  ...  mais  ne  soyez  pas  naïf  ! véridique ! Van Eck phreaking
  • 7. La  sécurité  ? connaissez-­‐vous   ceci  ? Et ses implications ... ?! Patriot Act
  • 10. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement Sécurité Informatique (c) Pierre-Olivier Bourge 2013 99% of the attacks are thwarted by basic hygiene and some luck 1% of the attacks are difficult and expensive to defend or detect Encore faut-il savoir ce que l’on a à protéger ... Control,  monitor,   and  log  all  access  to   protected  assets
  • 11. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement Sécurité Informatique (c) Pierre-Olivier Bourge 2013 Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? Patriot Act Cloud S’assurer  que  tout  changement  du  système  ne  reme4e  pas  en   cause  les  mesures  de  sécurité  établies  pour  protéger  le  patrimoine
  • 12. Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement (c) Pierre-Olivier Bourge 2013 Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? Sécurité Informatique maillon le plus faible ! Effective cyber security is less dependent on technology than you think (KPMG.nl)
  • 13. Types  de  risques Sécurité IT • Où / quels sont les risques ? peu importe Vulnerability = leaving your car unlocked Exposure = thief identifies this and opens the door. Risk factor will increase if either factor is changed (e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.) Risk = Vulnerability * Exposure - Security
  • 14. Types  de  risques Sécurité IT • Où / quels sont les risques ? peu importe Décider : 1) ce qu’il y a à protéger 2) de quoi ? 3) comment ? Mode : sécurité par défaut Risk = Vulnerability * Exposure - Security
  • 15. Bâtiment, bureaux, armoires, câbles, ... Types  de  risques port USB : vol de données ? (juice jacking) BYOD = BYOD
  • 16. Sécurité physique : Chiffrement (“cryptage”) • depuis l’antiquité • “masque jetable” (sécurité inconditionnelle = théoriquement incassable) ★ combiné à MQ • symétrique / asymétrique ★ DES,Triple DES,AES, ... (symétrique), RSA, ... (asymétrique) • problème : ★ générer clef réellement aléatoire (S/N) [phénomènes physiques] ★ transmettre la clef [valises diplomatiques] (c) Pierre-Olivier Bourge 2013
  • 17. Sécurité physique : Chiffrement (“cryptage”) • Mac OS X : FileVault 2 • Toutes plateformes :TrueCrypt www.truecrypt.org HD ou contenant ... • Windows : No, No, No ! • Attention à la gestion de la clef ! (c) Pierre-Olivier Bourge 2013 Types  de  risques  :  “physique”  ...
  • 18. • PCs/Macs : TrueCrypt / FileVault • emails : TrueCrypt / OpenPGP / SSL • protocoles sécurisés : https / ssh (c) Pierre-Olivier Bourge 2013 Sécurité physique : Chiffrement (“cryptage”) Types  de  risques  :  “écoute”  ...
  • 19. Sécurité physique : Effacement sécurisé • Mac OS X : intégré OS (cmd+empty trash) • Linux : srm,Wipe, etc. • Windows : utilitaires Cf. Eraser, CCleaner, SDelete, Piriform, etc. (c) Pierre-Olivier Bourge 2013 Types  de  risques  :  “après”  ...
  • 21. Bâtiment, bureaux, armoires, câbles, ... Types  de  risques
  • 22. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... (hardware, software) Types  de  risques • Connexions entrantes s + sortantes, • plusieurs routeurs / parefeux en série (différentes configurations) • plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA) • connexion externe :“min” • DMZ, IDS, etc.
  • 23. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, VirusBarrier, Sophos,Avira, McAfee,Avast!, ... Types  de  risques A5en6on  !  On  ne  joue  pas  !
  • 24. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... access rights (users & machines), security logs, ... Types  de  risques • No root ! • user is not admin •“least privilege” • BYOD = services, ports, accès, ... : à fermer • serveurs virtuels • Security Onion
  • 25. Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... Vous ! Types  de  risques humain = le plus difficile car le plus imprévisible
  • 26. Vous = humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT e.g. : 5 lettres ou 2 mots du dictionnaire accolés
  • 27. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations
  • 28. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations • informations sensibles • apprendre à identifier les risques communs • que faire ? comment gérer les informations sensibles ? • changement de comportement
  • 29. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT (c) Pierre-Olivier Bourge 2013 Sensibilisations • “a password is the first gateway to security breaches” • types d’attaques communes • comment générer un bon mot de passe • comment retenir ses mots de passe ? • le BYOD = BYOD
  • 30. Confidentialité Mots de passe Complexité / Changement régulier Plusieurs ! idéalement un et un seul pour chaque usage un mot de passe hacké est une faille ! ... et s’il donne accès à tout ... Non accessible par ailleurs !
  • 31. Comment  mémoriser  ? 1) fichier ou partition cryptés règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe 2) outil Norton (ou Keychain Access sur Mac) Comment mémoriser de manière sécurisée ? (c) Pierre-Olivier Bourge 2013
  • 32. Types  d’aCaques  sur   les  mots  de  passe 1) problème n’est pas tellement à l’identification lors d’une connexion si • protocole : sécurisé • parefeu et services : bien configurés => bloqué 2) problème est plutôt : • hacker : faille, accès aux clefs/mots de passe sécurisés ? • combien de temps pour les casser ? Attaques : où est le problème ? (c) Pierre-Olivier Bourge 2013 Petite leçon sur le stockage (hachage) des mots de passe dans les ordinateurs
  • 33. (c) Pierre-Olivier Bourge 2013 Stockage  mots  de   passe Hash hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD,Whirpool, etc.
  • 34. Types  d’aCaques  sur   les  mots  de  passe1) par force brute teste toutes les combinaisons [exemple : HpAhTbd6nWx6cCDK] parade : augmenter la longueur du mot de passe (> 8 !) 2) par dictionnaire teste les noms communs ou propres, ou les mots de passe les plus courants [exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...] parade : éviter les noms communs ou propres, les mots avec un sens courant 3) par substitution ou insertion teste des noms substitués ou insérés [exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...] parade : éviter les substitutions et les insertions à partir de noms ou de mots courants 4) par séquence ou inversion de séquences teste par les séries de chiffres, de caractères [exemple : 123456, abc123, drow (word), ...] parade : à éviter absolument (c) Pierre-Olivier Bourge 2013
  • 35. Mots de passe (exemples) : 4031 carre Picarré hzs!Y%2v ACaques  (force  brute) Temps maximum pour casser (en force brute) instantané ! 1/100ème seconde ! 3 minutes 6 heures Constante évolution : Hz , CPU => GPU (c) Pierre-Olivier Bourge 2013 8 caractères aléatoires (Windows XP) en 6 heures pour un hacker ! et c’est même pire ... : e.g. tables arc-en-ciel, etc.
  • 36. News  NSA  ? La  NSA  peut  décoder  tout  type  de  communica9on  chiffrée  ? Quelques  chiffres  de  puissance  de  calcul  à  l’heure  actuelle  ... CPUs GFlops X 8 alea (Windows) Lenovo 2-Core Mac 4-Core Top 1-GPU Hacker 25-GPU SETI BOINC Tianhe-2 3 1 20 d 7 2 10 d 8 3 160 h 175 60 8 h 600.000 200.000 9 s 10.000.000 3.300.000 0,5 s 35.000.000 11.000.000 0,1 s GFlops days / hours / secondsdays / hours / seconds Hash (c) Pierre-Olivier Bourge 2013
  • 37. Types  d’aCaques 5) par séquence au clavier teste des suites logiques au clavier [exemple : azerty, azeswxc, vgyrgb, ...] parade : éviter les substitutions à partir de noms 6) par répétition teste les répétitions [exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)] parade : à éviter (n’apporte rien, augmente le signal dans l’encryption) 7) par ruse vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe [exemple : phishing (hameçonnage), attaque “sociale”, ...] parade : vérifier votre connexion à un site sécurisé, ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ... 8) par virus un virus, ver, cheval de troie, etc. ouvre une faille dans le système [exemple : un fichier corrompu, un programme piraté, keylogger, etc.] parade : mettre à jour votre anti-virus (fait le reste) éviter comportements à risque (téléchargements, phishing, etc.) (c) Pierre-Olivier Bourge 2013
  • 38. Types  d’aCaques 9) par ... etc. attaques par tables arc-en-ciels, “temporelle”, analyse statistiques, surchiffrement, man-in-the-middle, etc. parade : the ability to learn is just as important as the ability to monitor (KPMG.nl) (c) Pierre-Olivier Bourge 2013
  • 39. En conclusion • Sécurité ★ affaire de tous & pas que IT ★ technique + moi + les autres ★ humain : sensibilisation & éducation ★ vigilance, veille constante ★ évaluer les risques ★ pas parano ... mais pas naïf ... (c) Pierre-Olivier Bourge 2013 The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl)
  • 40. Annexes (c) Pierre-Olivier Bourge 2013 • Comment trouver un bon mot de passe ★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...) ★ mnémotechnique (pseudo-aléatoire) ★ générateurs aléatoires (vrai = source de bruit) : random.org ★ générateurs pseudo-aléatoires (algorithmes)
  • 41. Types  de  mots  de   passe 1) aléatoire brut la meilleure combinaison exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5( règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués 2) phrase mnémotechnique pas loin de l’aléatoire brut lorsque suffisamment longue exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK) règle : initiales des mots, insérer chiffres, ponctuations, etc. Types (c) Pierre-Olivier Bourge 2013
  • 42. Types  de  mots  de   passe 3) coller quelques mots + fautes, substitutions exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri NOK ! Attaque par dictionnaire et substitution 4) style SMS trop variable : si très condensé OK si phrase longue mais sinon ... ? Bof ! Attaque par dictionnaire et substitution Types (c) Pierre-Olivier Bourge 2013
  • 43. Types  de  mots  de   passe 5) clef cryptographique commune exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a OK à Bof ! Force brute puis décode tout facilement ... Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8) 6) se méfier des sites non professionnels exemple : le site références Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ? Types (c) Pierre-Olivier Bourge 2013