Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ?
Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
Lien formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-lessentiel
Cette formation est une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion sur des réseaux et applications. Nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Vous pourrez, au terme de cette formation réaliser des audits de sécurité (test de pénétration) au sein de votre infrastructure.
Il s’agit d’une formation complète sur l’essentiel de ce dont vous avez besoin afin de mettre la casquette du Hacker dans vos tests de vulnérabilité , mais aussi si vous souhaitez avoir une approche offensive de la sécurité informatique , ainsi que toute personne souhaitant acquérir les connaissances techniques d’attaques , il faut savoir attaquer pour mieux se défendre.
La présentation des techniques d’attaques et vulnérabilités sont axées pratique s au sein d’un lab de test de pénétration.
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité, dans sa version 2020, qui propose une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications.
Cette formation hacking et sécurité, l’essentiel, sera composé de 4 tomes :
- Méthodologies de Pentest, Reconnaissance Passive et Active
- Les techniques d'OSINT - L'essentiel
- Attaques Réseaux, Physiques et Clients
- Attaques AD et Web
Dans ce premier tome, nous allons pouvoir nous focaliser sur les méthodologies de pentest, reconnaissance passive mais aussi active.
La présentation des techniques d’attaques et des vulnérabilités potentielles sera effectuée sous un angle "pratique", au sein d’un lab de test de pénétration.
Cette formation vous apportera la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Présentation effectuée au Rencontres Mondiales du Logiciel Libre (RMLL) 2017 par Christophe Villeneuve sur "Comprendre la securite web".
Vous allez voir pourquoi la sécurité ne doit pas être pris à la légère. Mais heureusement des solutions existes
L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Ces systèmes d’information, et donc internet, contiennent des informations très critiques pour le déroulement des activités organisationnelles. Il est donc essentiel de les protéger contre les intrusions et les accès non autorisés. Dans cette perspective, se munir d’un système de sécurité informatique est devenu une composante essentielle de l’infrastructure des entreprises. Mais avant tout définissons certains aspects de ce type de sécurité.
Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
Lien formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-lessentiel
Cette formation est une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion sur des réseaux et applications. Nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Vous pourrez, au terme de cette formation réaliser des audits de sécurité (test de pénétration) au sein de votre infrastructure.
Il s’agit d’une formation complète sur l’essentiel de ce dont vous avez besoin afin de mettre la casquette du Hacker dans vos tests de vulnérabilité , mais aussi si vous souhaitez avoir une approche offensive de la sécurité informatique , ainsi que toute personne souhaitant acquérir les connaissances techniques d’attaques , il faut savoir attaquer pour mieux se défendre.
La présentation des techniques d’attaques et vulnérabilités sont axées pratique s au sein d’un lab de test de pénétration.
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité, dans sa version 2020, qui propose une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications.
Cette formation hacking et sécurité, l’essentiel, sera composé de 4 tomes :
- Méthodologies de Pentest, Reconnaissance Passive et Active
- Les techniques d'OSINT - L'essentiel
- Attaques Réseaux, Physiques et Clients
- Attaques AD et Web
Dans ce premier tome, nous allons pouvoir nous focaliser sur les méthodologies de pentest, reconnaissance passive mais aussi active.
La présentation des techniques d’attaques et des vulnérabilités potentielles sera effectuée sous un angle "pratique", au sein d’un lab de test de pénétration.
Cette formation vous apportera la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Présentation effectuée au Rencontres Mondiales du Logiciel Libre (RMLL) 2017 par Christophe Villeneuve sur "Comprendre la securite web".
Vous allez voir pourquoi la sécurité ne doit pas être pris à la légère. Mais heureusement des solutions existes
L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Ces systèmes d’information, et donc internet, contiennent des informations très critiques pour le déroulement des activités organisationnelles. Il est donc essentiel de les protéger contre les intrusions et les accès non autorisés. Dans cette perspective, se munir d’un système de sécurité informatique est devenu une composante essentielle de l’infrastructure des entreprises. Mais avant tout définissons certains aspects de ce type de sécurité.
Le cloud computing, informatique en nuage ou infonuagique est un concept qui a dépassé le stade du buzz word pour devenir une réalité tangible.
Cette conférence aura pour objectif de présenter le cloud computing sous l’angle de la sécurité de l’information.
La première partie de la conférence présentera les concepts de base du cloud computing, les menaces, les vulnérabilités et les risques de l’infonuagique.
La seconde partie exposera comment intégrer le cloud computing dans un SMSI (Système de Management de la Sécurité de l’Information selon ISO27001) afin de mettre en œuvre, gérer, évaluer et faire évoluer les mesures de sécurité pour mitiger les risques.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Conférence Webikéo sur les stratégies médias sociaux et la segmentation des cibles clients ( http://www.cibleweb.com/accompagnement/votre-presence-sur-les-medias-sociaux ).
Comment prendre en compte les exigences de chacune des plateformes sociales afin de répondre aux besoins des algorithmes et augmenter sa visibilité.
Prestations et accompagnement Cibleweb pour une stratégie de visibilité et de recrutement : SEO, SEA, SMO, emailing, Iziflux
15 ans d'expériences pour vous accompagner dans vos projets web
http://www.cibleweb.com/
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
Centrale Nantes - Conférence du 08 Octobre 2015
Présentation sur les enjeux et les évolutions de la sécurité informatique.
Comment passer d'une vision de la sécurité informatique qui préserve la valeur, à une vision génératrice de valeur ajoutée pour l'entreprise ?
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Depuis les années 2000 et l’explosion d’IP comme protocole fédérateur, toutes les applications ont migré vers le même protocole et utilisent la même infrastructure
De même, les applications autrefois délivrées à un nombre limité d’utilisateurs sont devenues « universelles » (messagerie ou applications web par exemple)
Les types et le nombre de clients présents sur le réseau ont aussi explosé, et potentiellement, chaque client IP peut atteindre n’importe qu’elle application IP visible sur le réseau
Par ailleurs, de nouveaux besoins sont apparu, comme la mobilité, complexifiant encore plus la problématique de sécurisation du Système d’Information
La généralisation de ce modèle ouvert et la convergence sur un seul protocole ont facilité la tache des pirates, qui se sont engouffrés dans la faille !
La problématique de sécurité devient donc un axe majeur dans les réseaux modernes, et se complexifie de jour en jour.
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Ce module vise à doter les étudiants des atouts nécessaire pouvant leurs permettre de (d’):
Se familiariser avec les concepts de la sécurité informatique.
Connaitre quelques risques liés aux attaques sur les systèmes d'information.
identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les méthodes permettant d'y faire face.
Connaître les différents services de sécurité.
Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
la sécurité informatique est un ensemble de mécanismes qui sont conçus pour détecter,
prévenir et lutter contre tout attaque ou intrusion vient de l’extérieur d’une organisation
informatique.
Internet : Comprendre les opportunités et les dangers des réseaux cachésMaxime ALAY-EDDINE
Cyberwatch - cybersecurity training
Formation en sécurité informatique délivrée par CYBERWATCH SAS
Module de sensibilisation
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Maxime ALAY-EDDINE
Etablissements d’enseignement supérieur et MOOCs : présentation et analyse des différentes stratégies possibles.
Project Collectif, Master Affaires Publiques de Sciences Po
Maxime ALAY-EDDINE, Natacha BRIOIST, Alazaïs RAYNAL, Philippe WEN
Présentation associée au rapport suivant :
http://fr.slideshare.net/MaximeALAYEDDINE/comment-optimiser-la-stratgie-dun-tablissement-au-travers-des-moocs
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Maxime ALAY-EDDINE
Etablissements d’enseignement supérieur et MOOCs : présentation et analyse des différentes stratégies possibles.
Project Collectif, Master Affaires Publiques de Sciences Po
Maxime ALAY-EDDINE, Natacha BRIOIST, Alazaïs RAYNAL, Philippe WEN
Nés aux États-Unis dans les années 2000, les MOOCs (Massive Open Online Courses, ou Cours en Ligne Ouverts et Massifs) se sont développés en France durant l’été 2013 avec la création de FUN (France Université Numérique).
Aujourd’hui, c’est plus de 1 200 cours dispensés par 200 universités que l’on peut retrouver en ligne, et qui accueillent un public de plus de 10 millions d’étudiants.
Ces MOOCs sont à l’origine de multiples interrogations dans le milieu universitaire : s’agit-il d’une révolution numérique et pédagogique ou d’un simple phénomène de mode ? Vont-ils participer à la création de grands pôles universitaires et/ou remplacer les cours en présentiels ?
S’ils n’apportent pas encore de réponse claire à cette question, les MOOCs se développent et sont de véritables vecteurs de changement et d’innovation au sein des établissements d’enseignement. Il est à ce jour déjà possible de dresser un bilan de l’insertion des MOOCs dans le paysage académique et professionnel français, et de voir comment en faire des outils efficaces au service de la stratégie d’un établissement.
Ce rapport a été réalisé sur la base des premiers retours d’expérience des principaux experts des MOOCs en France. Le cadre de cette étude porte en particulier sur les établissements d’enseignement supérieur, et s’intéresse aussi bien aux aspects financiers ou logistiques qu’aux enjeux stratégiques de ces nouveaux objets pédagogiques.
Si l’État a mis en place une plateforme d’accueil et d’hébergement des MOOCs français avec FUN, il est important de réfléchir aux conséquences de la création d’un MOOC, et de voir de quelle manière un établissement peut optimiser sa stratégie par leur intermédiaire. Cela mène aux questions suivantes : quelles raisons poussent des universités à se lancer dans la création d’un MOOC et par conséquent quel public visent-elles ? Par l’intermédiaire de quels cours, quels professeurs ? Quels sont les modèles économiques émergents ? Quels sont les enjeux pratiques et financiers soulevés, quelles évolutions sont à prévoir ?
Notre rapport a pour objectif de porter un éclairage, sur la manière dont les établissements d'enseignement supérieur en France peuvent optimiser leur stratégie au travers des MOOCs, et avec quel modèle économique. Ce projet, réalisé dans le cadre des Projets Collectifs du Master Affaires Publiques de Sciences Po, propose de répondre à cette question en trois temps. Nous étudierons d’abord la manière dont les MOOCs peuvent s’inscrire dans la stratégie d’un établissement, puis les moyens disponibles pour amortir les coûts de développement, et enfin les enjeux opérationnels qui interviennent lors de leur mise en oeuvre.
Soutenance du mémoire "Identité numérique, identités numériques" réalisé dans le cadre du cours Etat et Révolution Numérique, Master Affaires Publiques de Sciences Po.
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...Maxime ALAY-EDDINE
Exposé sur la neutralité du net - Master Affaires Publiques de Sciences Po 2013-2014
"L'imprimerie a permis au peuple de lire, Internet va lui permettre d'écrire" (Benjamin Bayart).
La neutralité du net est un sujet récurrent dans les débats de notre société.
Pourtant, il est rare que l'on rentre dans les détails et que l'on explique réellement les enjeux de ce thème.
Au travers de cet exposé, nous tenterons de combler ces lacunes en voyant tout d'abord en quoi Internet est neutre par essence, puis les atteintes portées à cette neutralité et les moyens de lutter contre celles-ci.
1. Gestion de vulnérabilités dans l’IoT :
comment atteindre la cyber-résilience ?
Maxime ALAY-EDDINE
Cyberwatch SAS - http://www.cyberwatch.fr
v1.0 - 15/09/2016
1
2. Faisons connaissance !
§ Maxime ALAY-EDDINE
§ 25 ans, Consultant SSI & Développeur
§ Président de Cyberwatch SAS
• Tests d’intrusion
• Logiciel de supervision des
vulnérabilités / MCS
§ Premiers pas dans la sécurité
informatique à 12 ans
2
5. 5
Résilience :
« Caractéristique mécanique
définissant la résistance
aux chocs d'un matériau. »
(Larousse)
Sécurité :
« Situation de quelqu'un
qui se sent à l'abri du danger,
qui est rassuré. »
(Larousse)
≠
La cyber-résilience ?
6. 6
Sécurité dans l’IoT :
Comment limiter le risque que l’on porte atteinte
à la Disponibilité, à l’Intégrité, ou à la Confidentialité
de mon système embarqué ?
=> Résolution des risques <=
Résilience dans l’IoT :
En cas d’incident de sécurité,
comment limiter les dégâts sur un système embarqué ?
=> Résolution des incidents <=
7. 7
Sécurité dans l’IoT :
Comment limiter le risque que l’on porte atteinte
à la Disponibilité, à l’Intégrité, ou à la Confidentialité
de mon système d’informations embarqué ?
=> Résolution des risques <=
Résilience dans l’IoT :
En cas d’incident de sécurité,
comment limiter les dégâts sur un système embarqué ?
=> Résolution des incidents <=
9. 9
Quels sont les incidents les plus probables ?
Exploitation d’une vulnérabilité connue.
10. Nous nous concentrerons dans la suite de cette
présentation sur
la gestion des vulnérabilités et
leur supervision dans le cadre de
l’Internet des Objets.
Objectif :
Être résilient « by design »
face à de nouvelles vulnérabilités
11. Plan
1. Introduction
2. Cycle de vie d’une vulnérabilité
3. Particularités de l’IoT
4. 3 cas concrets à ne pas imiter
5. 3 « quick wins »
6. Modèle de menaces du TUF
7. Conclusion
8. Questions / Réponses
11
13. 13
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
Vulnérabilité : faiblesse dans un système d’information,
permettant à un attaquant de porter atteinte à la disponibilité,
l’intégrité, ou la confidentialité de ce système.
14. 14
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
Vulnérabilité : faiblesse dans un système d’information,
permettant à un attaquant de porter atteinte à la disponibilité,
l’intégrité, ou la confidentialité de ce système.
Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une
publication par les autorités de la sécurité des systèmes
d’information (bases CERT-FR, MITRE…).
15. 15
Les vulnérabilités informatiques :
un problème ancien, encore trop mal traité
Vulnérabilité : faiblesse dans un système d’information,
permettant à un attaquant de porter atteinte à la disponibilité,
l’intégrité, ou la confidentialité de ce système.
Vulnérabilité connue : vulnérabilité ayant fait l’objet d’une
publication par les autorités de la sécurité des systèmes
d’information (bases CERT-FR, MITRE…).
CVE-2014-6271
aka ShellShock
CVE-2014-0160
aka Heartbleed
24. 1. Les impacts entrent dans le monde réel :
Dégâts logiciels (vol de données)
vs. Dégâts matériels (ouverture d’une serrure connectée)
24
25. 1. Les impacts entrent dans le monde réel :
Dégâts logiciels (vol de données)
vs. Dégâts matériels (ouverture d’une serrure connectée)
25
2. Les cycles de vie sont longs :
Cycle de vie classique ± 3 ans (ordinateur)
vs. 10 ans pour une voiture…connectée ?
26. 1. Les impacts entrent dans le monde réel :
Dégâts logiciels (vol de données)
vs. Dégâts matériels (ouverture d’une serrure connectée)
26
2. Les cycles de vie sont longs :
Cycle de vie classique ± 3 ans (ordinateur)
vs. 10 ans pour une voiture…connectée ?
3. Ces systèmes sont faits pour être autonomes :
Ordinateurs, serveurs, logiciels ont
une IHM avancée et fréquemment consultée
vs. la console d’un routeur ?
27. Nous ne sommes pas encore habitués à
patcher de tels systèmes en tant qu’usagers.
27
28. Nous ne sommes pas encore habitués à
patcher de tels systèmes en tant qu’usagers.
Seuls les professionnels de la sécurité suivent
les alertes sur les vulnérabilités.
28
29. Nous ne sommes pas encore habitués à
patcher de tels systèmes en tant qu’usagers.
Seuls les professionnels de la sécurité suivent
les alertes sur les vulnérabilités.
Il semble difficile de demander à chacun de
déployer une mise à jour de sécurité sur son
réfrigérateur connecté…
29
30. Dans l’IoT, la gestion des vulnérabilités
doit être intégrée « by design »
et par le constructeur.
30
32. Cas #1 : piratage de FossHub (2 août 2016)
- FossHub est une plateforme majeure
de distribution de logiciels open source.
- Le 2 Août, déploiement de
Windows 10 Anniversary Update.
- Cette mise à jour désinstalle ClassicShell, un outil de
productivité et d’ergonomie sur Windows.
- Des centaines de milliers d’utilisateurs vont sur FossHub
pour télécharger et réinstaller ClassicShell.
32
33. Cas #1 : piratage de FossHub (2 août 2016)
- Problème : le groupe PeggleCrew a remplacé les
fichiers de FossHub par des malwares.
- Plusieurs centaines de machines infectées, bien que
l’installeur corrompu n’ait pas été signé…
33
Signer les mises à jour n’est pas suffisant
si vous demandez la validation de l’utilisateur moyen.
34. Cas #2 : ASUS Live Update
- ASUS Live Update est un logiciel de recherche et déploiement
de mises à jour sur les ordinateurs ASUS.
- Les mises à jour sont exécutées par un compte à privilèges.
- Problème : l’origine des mises à jour n’est pas vérifiée,
et la communication est réalisée en clair.
34
35. Cas #2 : ASUS Live Update
- Il est possible d’intercepter le trafic du logiciel, et de lui
faire installer un programme malveillant.
35
Un dispositif de mises
à jour automatisé
doit vérifier l’authenticité
et l’intégrité des
données téléchargées.
36. Cas #3 : le rappel de Fiat Chrysler
- Charlie Miller et Chris Valasek divulguent de nombreuses
vulnérabilités en 2015 affectant les véhicules de Fiat Chrysler.
- Fiat rappelle 1.400.000 véhicules pour les patcher.
36
Vos systèmes doivent pouvoir être patchés à distance,
sous peine de surcoûts très importants.
38. 38
Lutter contre les vulnérabilités et protéger ses
usagers par 3 moyens simples
1. Monitorez les versions des logiciels déployés sur vos
objets connectés.
39. 39
Lutter contre les vulnérabilités et protéger ses
usagers par 3 moyens simples
1. Monitorez les versions des logiciels déployés sur vos
objets connectés.
2. Supervisez en continu les vulnérabilités des logiciels
tiers que vous utilisez, et de vos propres systèmes.
40. 40
Lutter contre les vulnérabilités et protéger ses
usagers par 3 moyens simples
1. Monitorez les versions des logiciels déployés sur vos
objets connectés.
2. Supervisez en continu les vulnérabilités des logiciels
tiers que vous utilisez, et de vos propres systèmes.
3. Pensez dès le départ à des solutions simples et
sécurisées pour patcher vos systèmes à distance.
41. 41
Quelques ressources complémentaires
OWASP IoT Project :
https://www.owasp.org/index.php/OWASP_Inte
rnet_of_Things_Project
The Update Framework :
https://theupdateframework.github.io/
43. 43
Le modèle de menaces générique d’un
système de mises à jour (issu du TUF)
Résumé Détails de la menace
Installation de fichiers arbitraires L’attaquant peut installer les fichiers de son choix
sur le système.
Envoi de données sans fin L’attaquant peut envoyer des fichiers très
volumineux sur le système et non gérés par ce
dernier.
Installation de fausses dépendances L’attaquant peut forcer le système à installer des
logiciels tiers en les faisant passer pour des
dépendances.
Attaque par avance rapide L’attaquant fait croire au système qu’il est en
avance par rapport au serveur central de mise à
jour.
Attaque par gel des requêtes L’attaquant envoie des données obsolètes au
système et l’empêche de communiquer avec le
serveur central, sans qu’il ne s’en rende compte.
Faux miroirs L’attaquant se fait passer pour un miroir du
serveur central et empêche le système de faire
les mises à jour depuis le serveur légitime.
44. 44
Le modèle de menaces générique d’un
système de mises à jour (issu du TUF)
Résumé Détails de la menace
Attaque par « mix-and-match » L’attaquant trompe le système en générant des
meta-données (ex : signatures/timestamps) et en
les faisant exister plus longtemps que prévu.
Rollbacks / Downgrade L’attaquant peut forcer le système à installer une
mise à jour plus ancienne.
Ralentissement des téléchargements L’attaquant interfère dans les communications du
système et ralentit les téléchargements de sorte à
gagner du temps dans ses attaques.
Accès à des clés compromis L’attaquant obtient l’accès à des clés du système
en un nombre suffisamment grand pour signer
des données comme étant légitimes.
Installation d’un faux logiciel L’attaquant envoie au système un fichier réputé
de confiance mais n’étant pas le fichier attendu.
45. Intégrez la gestion et la supervision des vulnérabilités de
votre système dans votre maintenance.
Conclusion
45
46. Intégrez la gestion et la supervision des vulnérabilités de
votre système dans votre maintenance.
Anticipez et automatisez au maximum, dans le respect
des contraintes de sécurité
(pensez au modèle de menaces du TUF).
Conclusion
46
47. Intégrez la gestion et la supervision des vulnérabilités de
votre système dans votre maintenance.
Anticipez et automatisez au maximum, dans le respect
des contraintes de sécurité
(pensez au modèle de menaces du TUF).
Votre capacité à répondre à un incident de sécurité sera
décuplée par votre capacité à patcher vos systèmes.
Conclusion
47