SlideShare une entreprise Scribd logo
Chapitre 1. POURQUOI l’audit
?
34hvendredi 03 juillet, 08h
→ samedi 04 juillet,
18h
Paul est étudiant en 4e année au CESI.
Il apprend courant juin 2020, faute de travaux rendus et
d'un défaut de comportement général, une série de notes
très basses qui justifient qu'il n’intègre pas l'année
suivante, mettant en péril son année en cours. Sa colère
vis-à-vis de l'organisme de formation est importante : il
veut se venger.
Son mobile est de démontrer à la fois la faillite de
l'excellente voulue par le CESI, comme de son niveau
informatique. Il veut que son attaque "marque" les esprits.
Cependant son motif est également pécunier et en cela
plus discret : il souhaite récupérer des fonds provenant du
vol et de l'extorsion d'autres étudiants et des personnels
du CESI.
L'encadrement de Paul n'a pas mesuré sa motivation à
nuire autant que Paul reste discret sur ses projets : il a
donc le temps de préparer pendant plusieurs semaines
son attaque (questions diverses et anodines aux membres,
visite libre de locaux, manipulation des matériels, etc.).
Cette mission initiale de renseignement est facilitée par le
peu de suivi des personnes au sein du bâtiment et du
laxisme sur les règles minimales de prudence.
L'attaque démarre le vendredi 03 juillet 2020 à 08h, en
pleine période estivale alors que beaucoup ont déjà la tête
dans les congés. Le lendemain, l'agenda est
exceptionnellement chargé : une épreuve TOIEC se
double des journées portes ouvertes... Le piège se
renferme !
Ceci est Paul.
2.
OPPORTUNITÉ
1. MOTIVATION
0 Risque = Menace x Vulnérabilité x Actif
Capital image
→ étudiants, tuteurs
Capital financier
→ actionnariat, financeurs
Capital confiance
→salariés, encadrement
Vulnérabilités
humaines
Vulnérabilités
techniques
Vulnérabilités
organisationnelles
Menace
sinternes
Menaces
externe
s
Menaces
accidentelles
1 « Comment a-t-il eu un mot de passe
d’administrateur de domaine ? »
2 « Pourquoi nos défenses numériques et
l’équipe du CESI, n’ont pas réagi ? »
Chapitre 2. COMMENT l’audit
?
(l’organisation
)
aujourd’hui17 mai
Réalisation de
l’attaque sociale
Fin octobre 2019
Réalisation de la
pénétration système
Fin octobre 2019
Prise d’information
système (LAN)
10.116.0.0/17 (sauf 10.116.0.10)
Mai à juin 2019
Finalisation de
l’audit et soutenance
Novembre 2019
Composants
/ Phases
Pénétration de système Ingénierie sociale Gestion de projet
1
Prise
d’information
Mise en
œuvre
Initialisation du
projet
2
Exploitation
des
vulnérabilités
Exploitation de
l’envoi
Suivi et
ajustements
3
Rédaction du
rapport
Rédaction du
rapport
Clôture du
projet
Sous-total
Total
*** h
*** €
Chapitre 2. COMMENT l’audit
?
(la pénétration de
système)
K
P
W10
A
W7
ea64316fbfb328fa3d135
c9bc49b40a639386cdc7c
5832b41d45fa67b7f302d
05b14e0c333151dd9b1a9
a24ba38624b316e197fed8
f925039fb8a14debcd579
6a5232d09f422f57dbf1ce
981f3b828cd4bd0067bff7
8259ff5800862a6bcef2f
6f03bf98a8ee21928720d
495f940c16bc10b7720dcf
939e363c8476cc60546e
3
Chapitre 2. COMMENT l’audit
?
(l’attaque de
phishing)
!
Famille Schéma Exemple Commentaire
« HTTP Auth »
(via une connexion
TPC+SSL,
WebSocket+SSL ou
UDP avec
chiffrement
symétrique)
« Basic »
(RFC 7617)
ou « Digest »
(RFC 7616)
Authorization: Basic
QWxhZGRpbjpvcGVuIHNlc2FtZ
Q=
=
La méthode « historique » pour la
gestion des sessions authentifiées.
Utilisée désormais surtout pour les
API REST.
« ID session »
(RFC 2965)
(via cookies)
La méthode couramment utilisée par
le langage PHP et fournit par défaut.
La méthode identifie une session lors
d’une requête, depuis un pool central
(dossier de fichiers ou BDD).
Session salée ou « Bearer »
(RFC 5849, 6749, 6950)
{ "access_token":"mF_9.B5f-
4.1JqM",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0X
G5Qx2TlKWIA" }
Le contenu « serveur » de la session
est envoyé en JSON au client, avec
un jeton salé (hash du contenu + clé
secrète du serveur d’identité).
Cette méthode permet de distribuer
une session sans point central. La
durée de vie du jeton est importante
(notion de révocation plus délicate).
Session obsfuscée
Session salée avec l’application
d’un chiffrement symétrique
La clé de chiffrement symétrique est
partagée par tous les serveurs d’un
domaine ou d’un secteur.
A noter : une session n’a pas nécessairement authentifiée (secret partagé entre client et serveur). La session salée « bearer » est la base de la
distribution de l’identité entre un fournisseur d’identité et un ou plusieurs fournisseurs de contenus, sans qu’un client puisse forger un jeton avec des
informations modifiées. Le secret entre fournisseur d’identité et un fournisseur de contenu peut varier dans le temps. Le client doit pouvoir être
Utilisateur
Client
Application
Fournisseur
d’identités
Fournisseur
decontenus
temps
vie de la
session
Identification
normale
Actions
pirates
confiance
« Azure »
– Utilisateur : ici les étudiants du
CESI qui subissent l’attaque de
phishing
– Client : le navigateur de
l’utilisateur
– Application : application dite
« monopage » qui est renvoyé par
le serveur hébergeant l’application
et qui est exécutée par le client
– Fournisseur d’identités :
Microsoft Azure pour Office365, en
lien avec l’AD du CESI
– Fournisseur de contenus :
Microsoft Graph
Chapitre 3. QUEL résultat ?
(et comment se protéger)
20 étudiants ciblés
3 victimes
1 dénonciateur
suffisant pour mener
l’attaque de Paul
Chapitre 4. COMBIEN ça va coûter ?
3 Capital d’image : des étudiants
et des visiteurs victimes
- Bornes Wifi du CESI détournées
- Bornes Wifi « libres » et pirates
(grâce aux matériels du faux-plafonds)
→ récupération des identifiants CESI,
des comptes divers et injection de scripts
proxy pour le minage de
cryptomonnaie
BONUS ! l’ajout d’une application
dédiée pour récupérer des données
personnelles et mener des opérations
1. Imposer l’ajout d’une injonction d’un certificat
d’autorité dans le magasin du navigateur
Avantage. Les canaux TSL semblent valides
Inconvénient. Complexe !
Modalités d’attaque
( « man in the middle » )
2. La borne agit comme proxy, grâce à un portail
portail captif (une exception sur la signature reste
nécessaire)
Avantage. Simple et très rapide à mettre en place.
Inconvénient. Agit surtout dans un contexte
navigateur, qui peut alerter
4 Capital financier : les financeurs
mécontents, des coûts pour le CESI
Modalités d’attaque
( minage pirate de la monnaie
)
1. Utiliser les postes informatiques du CESI
(dont W-o-LAN + PXE dans les labos)
Avantage. Le calcul distribué est adapté
Inconvénients. Nécessite des applicatifs
spécifiques pour la distribution des
calculs
2. Les bornes Wifi diffusent à un grand nombre
d’ordinateurs les scripts de minages et de
contournementAvantage. Simple et très rapide à mettre en place.
Inconvénient. Agit surtout dans un contexte navigateur, qui
peut
alerter
$4,600 en 34h
50 machines I5 8600K 6 cœurs
+ UHD Graphics 630 à 90 %
= 24 678.5 x 0.9
= 22 210,65 Gflops
Soit 282,075255 GHash/s quand
1mHash/s vaut 12,700 mFlop/s
4 Capital confiance : les salariés et
les collaborateurs indirects du CESI
Modalités d’attaque
( vol de données, d’identités et
escroqueries diverses
)
(TP de présentation : récupération des données bancaires via portail captif au sein du campus)
Chapitre 5. QUAND...
?
(conclusion)
Audit sécurité - campus CESI Angoulême 2019

Contenu connexe

Similaire à Audit sécurité - campus CESI Angoulême 2019

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de Windows
Benjamin Delpy
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
OPcyberland
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Microsoft
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Identity Days
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
SOCIALware Benelux
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
Salah Triki
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
Sylvain Maret
 
Byod mancala networks groupe casino byod - version finale
Byod mancala networks   groupe casino byod - version finaleByod mancala networks   groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finalewaggaland
 

Similaire à Audit sécurité - campus CESI Angoulême 2019 (20)

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de Windows
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Byod mancala networks groupe casino byod - version finale
Byod mancala networks   groupe casino byod - version finaleByod mancala networks   groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finale
 

Plus de Julien Garderon

Organiser son CI/CD - présentation
Organiser son CI/CD - présentation Organiser son CI/CD - présentation
Organiser son CI/CD - présentation
Julien Garderon
 
Penser son système d’information, appréhender ses évolutions
Penser son système d’information, appréhender ses évolutions Penser son système d’information, appréhender ses évolutions
Penser son système d’information, appréhender ses évolutions
Julien Garderon
 
Penser son Système d’Information, Appréhender ses évolutions
Penser son Système d’Information, Appréhender ses évolutions Penser son Système d’Information, Appréhender ses évolutions
Penser son Système d’Information, Appréhender ses évolutions
Julien Garderon
 
"Sauver le TER" en Nouvelle-Aquitaine
"Sauver le TER" en Nouvelle-Aquitaine "Sauver le TER" en Nouvelle-Aquitaine
"Sauver le TER" en Nouvelle-Aquitaine
Julien Garderon
 
Parc automobile régional de Poitou-Charentes (2012)
Parc automobile régional de Poitou-Charentes (2012) Parc automobile régional de Poitou-Charentes (2012)
Parc automobile régional de Poitou-Charentes (2012)
Julien Garderon
 
Intelligence Politique, renseignement, influence et organisation de l'informa...
Intelligence Politique, renseignement, influence et organisation de l'informa...Intelligence Politique, renseignement, influence et organisation de l'informa...
Intelligence Politique, renseignement, influence et organisation de l'informa...
Julien Garderon
 
Lot de document #1 - Budget régional de Poitou-Charentes
Lot de document #1 - Budget régional de Poitou-CharentesLot de document #1 - Budget régional de Poitou-Charentes
Lot de document #1 - Budget régional de Poitou-Charentes
Julien Garderon
 
Tract - "Vous avez le droit de savoir !"
Tract - "Vous avez le droit de savoir !" Tract - "Vous avez le droit de savoir !"
Tract - "Vous avez le droit de savoir !"
Julien Garderon
 
"Le milliard de promesses irréalisées"
"Le milliard de promesses irréalisées" "Le milliard de promesses irréalisées"
"Le milliard de promesses irréalisées"
Julien Garderon
 

Plus de Julien Garderon (9)

Organiser son CI/CD - présentation
Organiser son CI/CD - présentation Organiser son CI/CD - présentation
Organiser son CI/CD - présentation
 
Penser son système d’information, appréhender ses évolutions
Penser son système d’information, appréhender ses évolutions Penser son système d’information, appréhender ses évolutions
Penser son système d’information, appréhender ses évolutions
 
Penser son Système d’Information, Appréhender ses évolutions
Penser son Système d’Information, Appréhender ses évolutions Penser son Système d’Information, Appréhender ses évolutions
Penser son Système d’Information, Appréhender ses évolutions
 
"Sauver le TER" en Nouvelle-Aquitaine
"Sauver le TER" en Nouvelle-Aquitaine "Sauver le TER" en Nouvelle-Aquitaine
"Sauver le TER" en Nouvelle-Aquitaine
 
Parc automobile régional de Poitou-Charentes (2012)
Parc automobile régional de Poitou-Charentes (2012) Parc automobile régional de Poitou-Charentes (2012)
Parc automobile régional de Poitou-Charentes (2012)
 
Intelligence Politique, renseignement, influence et organisation de l'informa...
Intelligence Politique, renseignement, influence et organisation de l'informa...Intelligence Politique, renseignement, influence et organisation de l'informa...
Intelligence Politique, renseignement, influence et organisation de l'informa...
 
Lot de document #1 - Budget régional de Poitou-Charentes
Lot de document #1 - Budget régional de Poitou-CharentesLot de document #1 - Budget régional de Poitou-Charentes
Lot de document #1 - Budget régional de Poitou-Charentes
 
Tract - "Vous avez le droit de savoir !"
Tract - "Vous avez le droit de savoir !" Tract - "Vous avez le droit de savoir !"
Tract - "Vous avez le droit de savoir !"
 
"Le milliard de promesses irréalisées"
"Le milliard de promesses irréalisées" "Le milliard de promesses irréalisées"
"Le milliard de promesses irréalisées"
 

Audit sécurité - campus CESI Angoulême 2019

  • 1.
  • 2. Chapitre 1. POURQUOI l’audit ?
  • 3. 34hvendredi 03 juillet, 08h → samedi 04 juillet, 18h Paul est étudiant en 4e année au CESI. Il apprend courant juin 2020, faute de travaux rendus et d'un défaut de comportement général, une série de notes très basses qui justifient qu'il n’intègre pas l'année suivante, mettant en péril son année en cours. Sa colère vis-à-vis de l'organisme de formation est importante : il veut se venger. Son mobile est de démontrer à la fois la faillite de l'excellente voulue par le CESI, comme de son niveau informatique. Il veut que son attaque "marque" les esprits. Cependant son motif est également pécunier et en cela plus discret : il souhaite récupérer des fonds provenant du vol et de l'extorsion d'autres étudiants et des personnels du CESI. L'encadrement de Paul n'a pas mesuré sa motivation à nuire autant que Paul reste discret sur ses projets : il a donc le temps de préparer pendant plusieurs semaines son attaque (questions diverses et anodines aux membres, visite libre de locaux, manipulation des matériels, etc.). Cette mission initiale de renseignement est facilitée par le peu de suivi des personnes au sein du bâtiment et du laxisme sur les règles minimales de prudence. L'attaque démarre le vendredi 03 juillet 2020 à 08h, en pleine période estivale alors que beaucoup ont déjà la tête dans les congés. Le lendemain, l'agenda est exceptionnellement chargé : une épreuve TOIEC se double des journées portes ouvertes... Le piège se renferme ! Ceci est Paul.
  • 5. 0 Risque = Menace x Vulnérabilité x Actif Capital image → étudiants, tuteurs Capital financier → actionnariat, financeurs Capital confiance →salariés, encadrement Vulnérabilités humaines Vulnérabilités techniques Vulnérabilités organisationnelles Menace sinternes Menaces externe s Menaces accidentelles
  • 6. 1 « Comment a-t-il eu un mot de passe d’administrateur de domaine ? »
  • 7. 2 « Pourquoi nos défenses numériques et l’équipe du CESI, n’ont pas réagi ? »
  • 8. Chapitre 2. COMMENT l’audit ? (l’organisation )
  • 9. aujourd’hui17 mai Réalisation de l’attaque sociale Fin octobre 2019 Réalisation de la pénétration système Fin octobre 2019 Prise d’information système (LAN) 10.116.0.0/17 (sauf 10.116.0.10) Mai à juin 2019 Finalisation de l’audit et soutenance Novembre 2019
  • 10. Composants / Phases Pénétration de système Ingénierie sociale Gestion de projet 1 Prise d’information Mise en œuvre Initialisation du projet 2 Exploitation des vulnérabilités Exploitation de l’envoi Suivi et ajustements 3 Rédaction du rapport Rédaction du rapport Clôture du projet Sous-total Total *** h *** €
  • 11. Chapitre 2. COMMENT l’audit ? (la pénétration de système)
  • 14. Chapitre 2. COMMENT l’audit ? (l’attaque de phishing)
  • 15.
  • 16.
  • 17.
  • 18.
  • 19. !
  • 20.
  • 21. Famille Schéma Exemple Commentaire « HTTP Auth » (via une connexion TPC+SSL, WebSocket+SSL ou UDP avec chiffrement symétrique) « Basic » (RFC 7617) ou « Digest » (RFC 7616) Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZ Q= = La méthode « historique » pour la gestion des sessions authentifiées. Utilisée désormais surtout pour les API REST. « ID session » (RFC 2965) (via cookies) La méthode couramment utilisée par le langage PHP et fournit par défaut. La méthode identifie une session lors d’une requête, depuis un pool central (dossier de fichiers ou BDD). Session salée ou « Bearer » (RFC 5849, 6749, 6950) { "access_token":"mF_9.B5f- 4.1JqM", "token_type":"Bearer", "expires_in":3600, "refresh_token":"tGzv3JOkF0X G5Qx2TlKWIA" } Le contenu « serveur » de la session est envoyé en JSON au client, avec un jeton salé (hash du contenu + clé secrète du serveur d’identité). Cette méthode permet de distribuer une session sans point central. La durée de vie du jeton est importante (notion de révocation plus délicate). Session obsfuscée Session salée avec l’application d’un chiffrement symétrique La clé de chiffrement symétrique est partagée par tous les serveurs d’un domaine ou d’un secteur. A noter : une session n’a pas nécessairement authentifiée (secret partagé entre client et serveur). La session salée « bearer » est la base de la distribution de l’identité entre un fournisseur d’identité et un ou plusieurs fournisseurs de contenus, sans qu’un client puisse forger un jeton avec des informations modifiées. Le secret entre fournisseur d’identité et un fournisseur de contenu peut varier dans le temps. Le client doit pouvoir être
  • 22. Utilisateur Client Application Fournisseur d’identités Fournisseur decontenus temps vie de la session Identification normale Actions pirates confiance « Azure » – Utilisateur : ici les étudiants du CESI qui subissent l’attaque de phishing – Client : le navigateur de l’utilisateur – Application : application dite « monopage » qui est renvoyé par le serveur hébergeant l’application et qui est exécutée par le client – Fournisseur d’identités : Microsoft Azure pour Office365, en lien avec l’AD du CESI – Fournisseur de contenus : Microsoft Graph
  • 23. Chapitre 3. QUEL résultat ? (et comment se protéger)
  • 24. 20 étudiants ciblés 3 victimes 1 dénonciateur suffisant pour mener l’attaque de Paul
  • 25. Chapitre 4. COMBIEN ça va coûter ?
  • 26. 3 Capital d’image : des étudiants et des visiteurs victimes - Bornes Wifi du CESI détournées - Bornes Wifi « libres » et pirates (grâce aux matériels du faux-plafonds) → récupération des identifiants CESI, des comptes divers et injection de scripts proxy pour le minage de cryptomonnaie BONUS ! l’ajout d’une application dédiée pour récupérer des données personnelles et mener des opérations
  • 27. 1. Imposer l’ajout d’une injonction d’un certificat d’autorité dans le magasin du navigateur Avantage. Les canaux TSL semblent valides Inconvénient. Complexe ! Modalités d’attaque ( « man in the middle » ) 2. La borne agit comme proxy, grâce à un portail portail captif (une exception sur la signature reste nécessaire) Avantage. Simple et très rapide à mettre en place. Inconvénient. Agit surtout dans un contexte navigateur, qui peut alerter
  • 28. 4 Capital financier : les financeurs mécontents, des coûts pour le CESI Modalités d’attaque ( minage pirate de la monnaie ) 1. Utiliser les postes informatiques du CESI (dont W-o-LAN + PXE dans les labos) Avantage. Le calcul distribué est adapté Inconvénients. Nécessite des applicatifs spécifiques pour la distribution des calculs 2. Les bornes Wifi diffusent à un grand nombre d’ordinateurs les scripts de minages et de contournementAvantage. Simple et très rapide à mettre en place. Inconvénient. Agit surtout dans un contexte navigateur, qui peut alerter $4,600 en 34h 50 machines I5 8600K 6 cœurs + UHD Graphics 630 à 90 % = 24 678.5 x 0.9 = 22 210,65 Gflops Soit 282,075255 GHash/s quand 1mHash/s vaut 12,700 mFlop/s
  • 29. 4 Capital confiance : les salariés et les collaborateurs indirects du CESI Modalités d’attaque ( vol de données, d’identités et escroqueries diverses )
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36. (TP de présentation : récupération des données bancaires via portail captif au sein du campus)