SlideShare une entreprise Scribd logo
A S S O CI ATIONS




ADVANCED PERSISTENT THREAT (APT)
                                                                                   1




Quand se protéger
ne suffit plus
PAR BSIDESQUÉBEC

SÉCUS est heureux de confier
à BSidesQuébec la rédaction
                               Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer
de la chronique technique du   que l’industrie de la sécurité est tombée dans une déchirure spatio-
magazine et espère que vous
apprécierez cette section.     temporelle. Le monde de la sécurité, dans son ensemble, accuse un retard
Pour plus d’informations sur   d’au moins une dizaine d’années par rapport à celui des attaquants.
BSidesQuébec, consultez
bsidesquebec.org.
                                      Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti-
                               tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des
                               attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires.
                               Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque
                               auxquels on fait face.
                                      En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro-
                               tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face.
                               Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et
                               cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela
                               arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ».

                                            « On est en train de perdre constat d’échec? peut-on
                                                                         la guerre, mais que
                                                   faire vis-à-vis de ce                  »
                               ADVANCED PERSISTENT THREAT (APT)
                                      L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas
                               évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque
                               vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont
                               conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les
                               attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils
                               réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près
                               de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon
                               exemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds),
                               qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Les
                               auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten-
                               tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire
                               détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est
                               impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs
                               de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou
                               manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien-
                               nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un
                               accès leur permettant de revenir plus tard pour frapper de nouveau.
                                                                                                                    Suite en page 50


                                                                                                       Automne 2012 SÉCUS | 49 |
Suite de la page 49
        La firme américaine Mandiant se spécialise notamment           moyens de prévention et de défense mis en place, on constate
dans la réponse aux incidents et publie un rapport annuel qui          évidemment qu’un changement de paradigmes sur le plan des
s’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci-      stratégies traditionnelles de défense s’impose. Il faut voir les
dents traités au cours de la dernière année et dépeint un por-         mesures préventives comme des moyens ayant pour but de
trait très peu rassurant de cette nouvelle réalité que trop peu        ralentir les attaques afin que les mesures de détection aient
de gens et d’organisations connaissent. Voici quelques faits           le temps de les identifier. La notion de détection évoquée ici
saillants du M-Trends (2012) :                                         n’inclut pas uniquement les mécanismes traditionnels tels
    s Seulement 6 % des organisations ont découvert les                que les sondes de prévention et de détection des intrusions
        brèches elles-mêmes et 94 % d’entre elles ont été avi-         (IDS et IPS), mais également les trois approches mention-
        sées par une source externe.                                   nées plus loin. Une réponse adéquate aux incidents est
    s L’APT typique passe inaperçue pendant plus d’un an.              nécessaire afin de tenter de maîtriser la situation avant que les
    s Les brèches sont de plus en plus découvertes lors de             attaquants réalisent qu’ils ont été découverts.
        processus de fusions et d’acquisitions.                               Parmi les différentes approches de détection et réponses
    s Les attaques avancées visent plusieurs maillons de la            possibles, voici trois types de contrôles qui devraient être for-
        « chaîne ».                                                    tement considérés et qui pourraient aider grandement dans les
    s Les logiciels malveillants (malware) racontent seule-            situations où l’on doit faire face à des attaques de type APT :
        ment la moitié (54 %) de l’histoire.
    s L’utilisation d’outils publics ajoute de la complexité
        dans l’identification des acteurs derrière les menaces.
    s Les attaquants diversifient leurs mécanismes de
        persistance.
    s Les attaquants motivés par des objectifs financiers
        sont de plus en plus persistants.
        Il est important de porter attention à deux de ces points.
Le premier concerne les attaques avancées qui visent plusieurs
maillons de la chaîne. En fait, les attaquants tentent de passer
par un tiers pour atteindre leur cible. À titre d’exemple, des
pirates ont réussi à s’introduire dans quatre grands cabinets
d’avocats de la rue Bay à Toronto au cours de la dernière année,        1 AUGMENTER LES CONTRÔLES
et ce, à l’aide de cyberattaques très sophistiquées conçues                    SUR LES COMMUNICATIONS SORTANTES
pour détruire des données ou voler des documents sensibles                     Trop souvent, les communications sortantes ne sont pas
en matière de fusions et d’acquisitions imminentes5. Évidem-           ou sont mal contrôlées sur le plan du périmètre. La plupart des
ment, les cibles n’étaient pas les cabinets d’avocats, mais bien       logiciels malveillants tenteront tôt ou tard de se connecter à un
leurs clients. Le second concerne le fait que les logiciels malveil-   centre de commandement (CC), que ce soit pour télécharger
lants ne racontent que la moitié (54 %) de l’histoire. Cela signifie   des mises à jour, recevoir des instructions, voler et exfiltrer de l’in-
que l’autre moitié des attaques (46 %) n’implique pas de logi-         formation, etc. Or, les protocoles fréquemment utilisés en sortie
ciels malveillants. En fait, une fois qu’un système a été compro-      vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés
mis par les attaquants à l’aide d’un logiciel malveillant, des         par les logiciels malveillants afin de se fondre dans la masse du
noms d’utilisateur et mots de passe valides (credentials) sont         trafic légitime d’une organisation pour ensuite se connecter
volés sur le système. Ces derniers sont ensuite réutilisés par         au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce
les pirates pour se connecter à d’autres systèmes. Les con-            niveau, par exemple en permettant uniquement aux serveurs
nexions à ces systèmes qui semblent alors légitimes passent            DNS de faire des requêtes vers Internet sur les ports TCP et UDP
sous le radar et n’attirent pas l’attention.                           53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole
                                                                       soit bloqué. De plus, un système situé sur le réseau interne ne
PRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTION                       devrait jamais pouvoir rejoindre Internet directement sans
ET À LA RÉPONSE                                                        passer par un serveur mandataire (proxy). Toutes les connexions
       Il faut comprendre que les APT sont réelles et que leurs        qui tentent de rejoindre Internet sans passer par un serveur
auteurs disposent de plus de temps et d’argent pour s’intro-           mandataire pourraient par exemple être redirigées via la route
duire dans les infrastructures que l’on a de temps et d’argent         par défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6
pour les sécuriser. La plupart des organisations allouent la           situé à l’interne. Cela contribuerait à bloquer les connexions
majorité de leur budget et de leurs efforts à la sécurité sur les      de type CC et à analyser le contenu du trafic clandestin ou
techniques de prévention et de défense pour malheureuse-               malicieux et ainsi à détecter les systèmes potentiellement
ment négliger la détection et la réponse aux incidents. Alors, si      infectés à l’interne et d’en apprendre plus sur l’attaque en cours
l’on considère le fait que l’on se fera pirater peu importe les        qui, parfois, est invisible autrement.              Suite en page 51


                                                                                                             Automne 2012 SÉCUS | 50 |
Suite de la page 50

 2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES                              Un élément en particulier attire-t-il l’attention ? Est-ce
      Le nerf de guerre est l’information, et c’est exactement          que des requêtes à intervalles fixes de six heures précises à
ce que les attaquants tentent d’obtenir lors qu’ils attaquent           la seconde près sur une période de douze heures et toujours
une infrastructure.                                                     vers la même adresse sont faites par un humain ou par une

  « Que ce soitconfidentielles ou des bases
                                                                        machine ? Il y a de fortes chances que ce soit une machine.
                des fichiers contenant des
 informations                                                           IL Y A PLUS !
                                                                               En plus de maintenir les contrôles traditionnels et
  de données avec des numéros de cartes                                 d’exercer ceux qui sont mentionnés plus tôt, il est également
      de crédit, l’accès aux ressources                                 recommandé d’effectuer régulièrement des analyses de
  informatiques doit être rigoureusement
                                                 »
                                                                        vulnérabilité et des tests d’intrusion (pentest) de façon péri-
          contrôlé et journalisé.                                       odique, ce qui est un excellent moyen de découvrir les failles
                                                                        et d’avoir la vision que les attaquants ont de l’environnement
       Par exemple, il n’est pas normal que des systèmes con-           technologique. Il faut être conscient que ces deux activités
tenant de l’information de cette nature soient sur un réseau plat       sont différentes, alors on doit prendre cette réalité en
qui n’a aucune segmentation et qui n’offre aucun cloisonnement          compte. Une analyse de vulnérabilité est ni plus ni moins
des données. De plus, des solutions d’authentification forte de         qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce
type Role Based Access Control (RBAC)7 combinées avec une               ne devrait pas seulement être un copier-coller provenant du
solution de gestion des identités contribueront grandement à            résultat d’un outil, mais bien une interprétation de ce dernier,
sécuriser les données. Il faut comprendre que, même si l’on met         incluant des recommandations et des solutions pour cha-
les meilleurs mécanismes en place, cela ne rendra pas les sys-          cune des vulnérabilités découvertes.
tèmes impénétrables. Cependant, plus on met de bâtons dans                     Le test d’intrusion, quant à lui, pousse l’exercice plus
les roues des attaquants, plus ils risquent de s’enfarger et d’être     loin. Le testeur tente d’exploiter les vulnérabilités ayant été
bruyants, ce qui permettra de repérer leurs activités qui ne            découvertes, tout comme un vrai pirate le ferait, mais dans
seraient peut-être pas détectées autrement.                             un cadre professionnel et contrôlé. Il faut noter que ces
                                                                        tests peuvent être effectués tant sur le plan du réseau, du
 3 ANALYSER LES INFORMATIONS PERTINENTES                                serveur que de l’application. On peut même tester les
       Il ne suffit pas de tout journaliser. Encore faut-il savoir      humains grâce à l’ingénierie sociale ! Mais c’est un autre
quoi regarder et avoir les bons outils pour le faire. Voici l’exemple   dossier...                                       Suite en page 52
de la série de requêtes DNS :
   s date-20XX 08:42:29.121 client 1.1.1.130#18759:
       query: drpxbbjbvcvcjllyqxsn.com IN A
   s date-20XX 08:42:29.218 client 1.1.1.130#18789:
       query: eh4t07sruha0x3betqa.com IN A –E
       Que remarque-t-on ? Est-ce que les noms de domaine
« drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com »
semblent légitimes ou ressemblent-ils à des requêtes qui
pourraient avoir été faites par un logiciel potentiellement
malveillant tentant de rejoindre un CC ? Il s’agit fort proba-
blement de requêtes faites par un logiciel potentiellement
malveillant.
        Voici maintenant des requêtes ayant été journalisées
par un coupe-feu :
   s 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111
       %ASA-5-304001: 1.1.1.42 Accessed URL
       69.3.211.4:http://www.emcc.com/info.html
                                                                              BSIDESQUEBEC, FIER PARTENAIRE DU CQSI,
   s 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111
                                                                                   S’UNIT À CUSIN SÉCURITÉ INC.,
       %ASA-5-304001: 1.1.1.42 Accessed URL
                                                                              AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ
       69.3.211.4:http://www.emcc.com/info.html
   s 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111                                     ET LES     20 ANS DU CQSI!
       %ASA-5-304001: 1.1.1.42 Accessed URL
       69.3.211.4:http://www.emcc.com/info.html
                                                                                            http://bsidesquebec.org
                                                                                                 http://cusin.ca

Contenu connexe

Tendances

CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?
Hapsis
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Andréanne Clarke
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
molastik
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDAQUITAINE
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
polenumerique33
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Thierry Pertus
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se Camp
Michel GERARD
 

Tendances (20)

CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se Camp
 

Similaire à Article prot vs_def_secus_10_12

Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
ASIP Santé
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
ssuser384b72
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
ITrust - Cybersecurity as a Service
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
michelcusin
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Symantec
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Crossing Skills
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées
Symantec
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
Paperjam_redaction
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
RECOVEO
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
MandyDentzer
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013Franck Dasilva
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
Habiba Kessraoui
 

Similaire à Article prot vs_def_secus_10_12 (20)

Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques.  Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
 

Plus de michelcusin

Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
michelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
michelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
michelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
michelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Plus de michelcusin (14)

Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Article prot vs_def_secus_10_12

  • 1. A S S O CI ATIONS ADVANCED PERSISTENT THREAT (APT) 1 Quand se protéger ne suffit plus PAR BSIDESQUÉBEC SÉCUS est heureux de confier à BSidesQuébec la rédaction Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer de la chronique technique du que l’industrie de la sécurité est tombée dans une déchirure spatio- magazine et espère que vous apprécierez cette section. temporelle. Le monde de la sécurité, dans son ensemble, accuse un retard Pour plus d’informations sur d’au moins une dizaine d’années par rapport à celui des attaquants. BSidesQuébec, consultez bsidesquebec.org. Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti- tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face. En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro- tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ». « On est en train de perdre constat d’échec? peut-on la guerre, mais que faire vis-à-vis de ce » ADVANCED PERSISTENT THREAT (APT) L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon exemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten- tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien- nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau. Suite en page 50 Automne 2012 SÉCUS | 49 |
  • 2. Suite de la page 49 La firme américaine Mandiant se spécialise notamment moyens de prévention et de défense mis en place, on constate dans la réponse aux incidents et publie un rapport annuel qui évidemment qu’un changement de paradigmes sur le plan des s’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci- stratégies traditionnelles de défense s’impose. Il faut voir les dents traités au cours de la dernière année et dépeint un por- mesures préventives comme des moyens ayant pour but de trait très peu rassurant de cette nouvelle réalité que trop peu ralentir les attaques afin que les mesures de détection aient de gens et d’organisations connaissent. Voici quelques faits le temps de les identifier. La notion de détection évoquée ici saillants du M-Trends (2012) : n’inclut pas uniquement les mécanismes traditionnels tels s Seulement 6 % des organisations ont découvert les que les sondes de prévention et de détection des intrusions brèches elles-mêmes et 94 % d’entre elles ont été avi- (IDS et IPS), mais également les trois approches mention- sées par une source externe. nées plus loin. Une réponse adéquate aux incidents est s L’APT typique passe inaperçue pendant plus d’un an. nécessaire afin de tenter de maîtriser la situation avant que les s Les brèches sont de plus en plus découvertes lors de attaquants réalisent qu’ils ont été découverts. processus de fusions et d’acquisitions. Parmi les différentes approches de détection et réponses s Les attaques avancées visent plusieurs maillons de la possibles, voici trois types de contrôles qui devraient être for- « chaîne ». tement considérés et qui pourraient aider grandement dans les s Les logiciels malveillants (malware) racontent seule- situations où l’on doit faire face à des attaques de type APT : ment la moitié (54 %) de l’histoire. s L’utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces. s Les attaquants diversifient leurs mécanismes de persistance. s Les attaquants motivés par des objectifs financiers sont de plus en plus persistants. Il est important de porter attention à deux de ces points. Le premier concerne les attaques avancées qui visent plusieurs maillons de la chaîne. En fait, les attaquants tentent de passer par un tiers pour atteindre leur cible. À titre d’exemple, des pirates ont réussi à s’introduire dans quatre grands cabinets d’avocats de la rue Bay à Toronto au cours de la dernière année, 1 AUGMENTER LES CONTRÔLES et ce, à l’aide de cyberattaques très sophistiquées conçues SUR LES COMMUNICATIONS SORTANTES pour détruire des données ou voler des documents sensibles Trop souvent, les communications sortantes ne sont pas en matière de fusions et d’acquisitions imminentes5. Évidem- ou sont mal contrôlées sur le plan du périmètre. La plupart des ment, les cibles n’étaient pas les cabinets d’avocats, mais bien logiciels malveillants tenteront tôt ou tard de se connecter à un leurs clients. Le second concerne le fait que les logiciels malveil- centre de commandement (CC), que ce soit pour télécharger lants ne racontent que la moitié (54 %) de l’histoire. Cela signifie des mises à jour, recevoir des instructions, voler et exfiltrer de l’in- que l’autre moitié des attaques (46 %) n’implique pas de logi- formation, etc. Or, les protocoles fréquemment utilisés en sortie ciels malveillants. En fait, une fois qu’un système a été compro- vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés mis par les attaquants à l’aide d’un logiciel malveillant, des par les logiciels malveillants afin de se fondre dans la masse du noms d’utilisateur et mots de passe valides (credentials) sont trafic légitime d’une organisation pour ensuite se connecter volés sur le système. Ces derniers sont ensuite réutilisés par au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce les pirates pour se connecter à d’autres systèmes. Les con- niveau, par exemple en permettant uniquement aux serveurs nexions à ces systèmes qui semblent alors légitimes passent DNS de faire des requêtes vers Internet sur les ports TCP et UDP sous le radar et n’attirent pas l’attention. 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole soit bloqué. De plus, un système situé sur le réseau interne ne PRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTION devrait jamais pouvoir rejoindre Internet directement sans ET À LA RÉPONSE passer par un serveur mandataire (proxy). Toutes les connexions Il faut comprendre que les APT sont réelles et que leurs qui tentent de rejoindre Internet sans passer par un serveur auteurs disposent de plus de temps et d’argent pour s’intro- mandataire pourraient par exemple être redirigées via la route duire dans les infrastructures que l’on a de temps et d’argent par défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6 pour les sécuriser. La plupart des organisations allouent la situé à l’interne. Cela contribuerait à bloquer les connexions majorité de leur budget et de leurs efforts à la sécurité sur les de type CC et à analyser le contenu du trafic clandestin ou techniques de prévention et de défense pour malheureuse- malicieux et ainsi à détecter les systèmes potentiellement ment négliger la détection et la réponse aux incidents. Alors, si infectés à l’interne et d’en apprendre plus sur l’attaque en cours l’on considère le fait que l’on se fera pirater peu importe les qui, parfois, est invisible autrement. Suite en page 51 Automne 2012 SÉCUS | 50 |
  • 3. Suite de la page 50 2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES Un élément en particulier attire-t-il l’attention ? Est-ce Le nerf de guerre est l’information, et c’est exactement que des requêtes à intervalles fixes de six heures précises à ce que les attaquants tentent d’obtenir lors qu’ils attaquent la seconde près sur une période de douze heures et toujours une infrastructure. vers la même adresse sont faites par un humain ou par une « Que ce soitconfidentielles ou des bases machine ? Il y a de fortes chances que ce soit une machine. des fichiers contenant des informations IL Y A PLUS ! En plus de maintenir les contrôles traditionnels et de données avec des numéros de cartes d’exercer ceux qui sont mentionnés plus tôt, il est également de crédit, l’accès aux ressources recommandé d’effectuer régulièrement des analyses de informatiques doit être rigoureusement » vulnérabilité et des tests d’intrusion (pentest) de façon péri- contrôlé et journalisé. odique, ce qui est un excellent moyen de découvrir les failles et d’avoir la vision que les attaquants ont de l’environnement Par exemple, il n’est pas normal que des systèmes con- technologique. Il faut être conscient que ces deux activités tenant de l’information de cette nature soient sur un réseau plat sont différentes, alors on doit prendre cette réalité en qui n’a aucune segmentation et qui n’offre aucun cloisonnement compte. Une analyse de vulnérabilité est ni plus ni moins des données. De plus, des solutions d’authentification forte de qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce type Role Based Access Control (RBAC)7 combinées avec une ne devrait pas seulement être un copier-coller provenant du solution de gestion des identités contribueront grandement à résultat d’un outil, mais bien une interprétation de ce dernier, sécuriser les données. Il faut comprendre que, même si l’on met incluant des recommandations et des solutions pour cha- les meilleurs mécanismes en place, cela ne rendra pas les sys- cune des vulnérabilités découvertes. tèmes impénétrables. Cependant, plus on met de bâtons dans Le test d’intrusion, quant à lui, pousse l’exercice plus les roues des attaquants, plus ils risquent de s’enfarger et d’être loin. Le testeur tente d’exploiter les vulnérabilités ayant été bruyants, ce qui permettra de repérer leurs activités qui ne découvertes, tout comme un vrai pirate le ferait, mais dans seraient peut-être pas détectées autrement. un cadre professionnel et contrôlé. Il faut noter que ces tests peuvent être effectués tant sur le plan du réseau, du 3 ANALYSER LES INFORMATIONS PERTINENTES serveur que de l’application. On peut même tester les Il ne suffit pas de tout journaliser. Encore faut-il savoir humains grâce à l’ingénierie sociale ! Mais c’est un autre quoi regarder et avoir les bons outils pour le faire. Voici l’exemple dossier... Suite en page 52 de la série de requêtes DNS : s date-20XX 08:42:29.121 client 1.1.1.130#18759: query: drpxbbjbvcvcjllyqxsn.com IN A s date-20XX 08:42:29.218 client 1.1.1.130#18789: query: eh4t07sruha0x3betqa.com IN A –E Que remarque-t-on ? Est-ce que les noms de domaine « drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com » semblent légitimes ou ressemblent-ils à des requêtes qui pourraient avoir été faites par un logiciel potentiellement malveillant tentant de rejoindre un CC ? Il s’agit fort proba- blement de requêtes faites par un logiciel potentiellement malveillant. Voici maintenant des requêtes ayant été journalisées par un coupe-feu : s 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html BSIDESQUEBEC, FIER PARTENAIRE DU CQSI, s 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 S’UNIT À CUSIN SÉCURITÉ INC., %ASA-5-304001: 1.1.1.42 Accessed URL AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ 69.3.211.4:http://www.emcc.com/info.html s 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 ET LES 20 ANS DU CQSI! %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html http://bsidesquebec.org http://cusin.ca