SlideShare une entreprise Scribd logo
Intrusions et gestion d’incidents
          informatique




           © 2011 Michel Cusin      1
Agenda

•  État de situation

•  Qui sont nos adversaires

•  Les types d’attaques et leurs cibles

•  Les étapes d’une attaque

•  Parce qu’un “hack” vaut 1000 mots… Des démos !!!

•  Comment (tenter) de se protéger

                       © 2011 Michel Cusin            2
État de situation




  © 2011 Michel Cusin   3
Quelques cas
  Quand              Cible                   Qui                                Quoi

 2010 (+)          Wikileaks             Anonymous               DDoS - Services non disponibles
               Operation: Payback
                 Mastercard, Visa
                 Amazon, PayPal
Février 2011         HBGary              Anonymous             Vol et Publication d’info confidentielle

 Mars 2011            RSA                  Inconnu                APT - Vol des “Seeds” SecurID

 Mars 2011          Comodo             Iranien de 21 ans           Vol de certificats numériques

 2011 (+)           Sony (+)               Multiple           #opsony, PSN Down, vol d’information

 Mai 2011        Lockheed Martin         Espionnage              Réplication des clés SecurID, vol

 Mai 2011      L-3 Communications        Espionnage               “tentative” de vol d’information

 Juin 2011      Northrop Grumman              ?                Incident en lien avec les clés SecurID

 Juin 2011       Google (Gmail)             Chine          Vol de mot de passe, interception de courriels

 Juin 2011          Citigroup                 ?                     Vol d’information de clients



                                   © 2011 Michel Cusin                                                      4
Quelques cas (suite)
    Quand                   Cible                Qui                              Quoi

   Juin 2011          Sénat américain           LulzSec           Publication de la structure du site Web

   Juin 2011     Police nationale espagnole   Anonymous           Site Web temporairement inaccessible

   Juin 2011                 CIA                LulzSec           Site Web temporairement inaccessible

    Juin (+)                OTAN              Anonymous ?                   Vol de 1GB d’info

   2011 (+)                 PBS.org             Warv0x                     Site Web défiguré,
                                                                   admin uname/passwd volés/exposés
  Juillet 2011              Apple               Antisec            Admin uname/passwd volés/exposés

   2011 (+)                  Fox                   ?        Fox annonce la mort du président Obama via Twitter

   Août 2011     72 organisations publiques     Chine?      McAfee Operation Shady RAT: Vol de secrets gouv,
                  et privées dans 14 pays                      info corpo sensible, propriété intélectuelle
   Août 2011          RIM (BlackBerry)        Team Poison          Blogue attaqué / émeutes à Londres




Source: CNET Hacker Chart


                                         © 2011 Michel Cusin                                                     5
Plus près de chez nous
  Quand                Cible                 Qui                                Quoi

Février 2007           RTSS                   ?                              Ver, botnet

2006 - 2008      Opération Basique      19 Québécois                           Botnet

Février 2011   Gouvernement canadien        Chine        Contrôle de systèmes clés du ministère des Finances
                                                                       et du Conseil du trésor.
Juillet 2011   Canada, USA, France,     Joseph Mercier              Botnet opéré à partir de Laval
               Russie, Émirats Arabes
                        Unis




                                  © 2011 Michel Cusin                                                          6
Anonymous




© 2011 Michel Cusin   7
LulzSec




© 2011 Michel Cusin   8
th3j35t3r (The Jester)




     © 2011 Michel Cusin   9
Commander X
According to a CBS News report, "Commander X" told their reporter that
he had no fear about being caught:

"We're not going to turn ourselves in. They can come and get us is what I
say. Bring it on. Until then, we run... We will remain free and at liberty
and at large for as long as we can, and when the time comes that each and
every one of us eventually will be brought to justice, we will hold our
head high in any court of law and we will defend our actions."
Doyon is scheduled to appear on September 29th for a bail hearing.




                          © 2011 Michel Cusin                                10
Stuxnet

•  Ver ciblant Windows         (4 attaques dont 3 zero-day & MS08-067)


•  Attaque très spécifique:
       •  Windows
       •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens
       •  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz &
           1210 Hz) normalement rattachés à certaines pompes et centrifugeuses


•  Modifie périodiquement la vitesse des moteurs de la centrifuge,
   causant des dommages.

•  Cyber arme industrielle possiblement déployée par Israël visant a
   déstabiliser le programme nucléaire Iranien

•  Et alors?

                                 © 2011 Michel Cusin                                            11
Récapitulons (ne capitulons pas)

Nous ne faisons pas face à des individus, mais à un mouvement
qui n’obéit qu’à ses propres règles. Nous devons penser et agir en
fonction de cette réalité.

Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il
faut savoir le traquer, le trouver et l’expulser.

Afin de nous défendre, nous devons savoir qui ils sont et comment
ils procèdent. Nous devons apprendre à mieux les connaitre et à
savoir comment ils pensent.




                         © 2011 Michel Cusin                           12
Sun Tzu


Je dis que si tu te connais toi-même et que tu connais
ton ennemi, tu n’auras pas à craindre le résultat de
cent batailles. Si tu te connais toi-même sans
connaître ton ennemi tes chances de victoires et de
défaites seront égales. Si tu ne connais ni ton ennemi
ni toi-même, tu perdras toutes les batailles.

–Sun Tzu, l’art de la guerre



                 © 2011 Michel Cusin                     13
Qui sont les attaquants

•  Script Kiddies

•  Pirates professionnels / mercenaires (espions/compétiteurs)
  - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse
   - OPA de BHP Billiton de 40 G$

•  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial)

•  Employés (volontairement ou à leur insu) – Parfois les plus dangereux



                            © 2011 Michel Cusin                             14
Motivations

•  Argent (espionnage, avantage concurrentiel, mercenaire, etc…)

•  Notoriété, gloire, réputation, etc…

•  Politique / Activisme

•  Parce que je peux… (opportunisme, apprentissage/découverte)

•  Terrorisme (attaques et financement)

•  Militaires

                       © 2011 Michel Cusin                         15
Les types d’attaques

•  Server-side Attacks (de l’externe)

•  Client-side Attacks (de l’interne)

•  Ingénierie Sociale (les gens)

•  Sans-fil (interne et externe)

•  Médias amovibles (Clés USB et autres)




                    © 2011 Michel Cusin    16
Cibles d’attaques

•  Postes de travail (OS, applications, physique)

•  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…)

•  Équipements réseau (routeur, commutateur, concentrateur?)

•  Téléphonie IP

•  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth



                        © 2011 Michel Cusin                             17
Étapes d’une attaque

•  Reconnaissance (ramasser de l’information)


•  Scanning (découvrir les failles)

•  Attaque (exploiter les failles et vulnérabilités)


•  Garder un accès (backdoor, porte dérobée, Rootkit)

•  Effacer les traces (effacer/modifier les logs)


                        © 2011 Michel Cusin             18
Reconnaissance

•  Site Web de la “cible”:
   •  Mission
   •  Postes disponibles
   •  Communiqués de presse
   •  Adresses courriel
   •  Et plus…

•  Adresses IP et autres informations
   •  American Registry for Internet Numbers (ARIN)
   •  Whois (Qui)
   •  Nslookup (Quoi)
   •  www.centralops.net, Sam Spade

                  © 2011 Michel Cusin                 19
Reconnaissance                   (2)


•  Google:
   •  Requêtes (intitile, inurl, type, link, etc...)
   •  Google Hacking DataBase (GHDB) – Johnny Long
   •  Google Maps, Street View, Picassa, Cache, Groups, Blog

•  Réseaux sociaux (Facebook, Twitter, LinkedIn)
  •  (CeWL) -> Liste de mots (uname/passwd)

•  www.123people.ca, www.pipl.com

•  www.archives.org (Wayback machine)


                    © 2011 Michel Cusin                   20
Reconnaissance             (3)


•  Outils
   •  CeWL
   •  BiDiBLAH
   •  BiLE
   •  Gpscan (Profils Google)
   •  Gloodin
   •  Lazy Champ
   •  Sam Spade
   •  Foca (Metadata)
   •  Maltego*
   •  Etc…

                   © 2011 Michel Cusin         21
© 2011 Michel Cusin   22
Scanning

•  Balayage de ports
   •  Nmap*
   •  Découverte des ports ouverts (0 à 65535 - TCP & UDP)
   •  Différents types de scans (connect, syn, etc…)

•  « OS Fingerprinting » - Déterminer la version du OS
   •  actif: Nmap, Xprobe
   •  Passif: p0f

•  Balayage de vulnérabilités
   •  Nessus*, OpenVAS
   •  Découverte des vulnérabilités dans le bût de les exploiter

                    © 2011 Michel Cusin                      23
BackTack




© 2011 Michel Cusin   24
Metasploit

Le “framework” Metasploit est un outil pour le développement
et l'exécution d'exploits contre une machine distante.
                          Interface Utilisateur



             Exploit 1                                 Payload 1


             Exploit 2            Choix                Payload 2


             Exploit N                                 Payload N



                           Exploit 2   Payload 1   Stager   Launcher Vers la cible



                         © 2011 Michel Cusin                                         25
Metasploit / Meterpreter

•  Metasploit*
   •  Creation et encodage d’un “payload” malicieux (Meterpreter)
   •  Serveur écoutant les requêtes entrantes des victimes


•  Meterpreter* (backdoor résident en mémoire injecté dans un dll)
   •  Donne un plein accès au poste de la victime
   •  Communications cryptées
   •  Lister contenue du poste, les ps, Hashdump, pivot, etc…
   •  “Shell is just the beginning…”


                       © 2011 Michel Cusin                           26
Social-Engineer Toolkit (SET)

1)   Spear-Phishing Attack Vectors
2)   Website Attack Vectors
3)   Infectious Media Generator
4)   Create a Payload and Listener
5)   Mass Mailer Attack
6)   Arduino-Based Attack Vector
7)   SMS Spoofing Attack Vector
8)   Wireless Access Point Attack Vector
9)   Third Party Modules




                                                !



                          © 2011 Michel Cusin   27
Attaques de mots de passe


•  Guessing: THC Hydra, Medusa;

•  Cracking: John the Ripper (JtR), Rainbow Tables;
   (LANMAN, NTLM, MD5, SHA-1, Salt)

•  Sniffing: Cain, tcpdump, Wireshark;

•  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit;



                   © 2011 Michel Cusin                       28
Attaques de réseaux sans fil

•  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…)

•  Filtrer par adresses MAC et cacher le SSID = inutile !

•  WEP, WPA, WPA2 -> Tous “crackables”
   •  Faiblesse au niveau des initialization vector (IV)
   •  Une authentification robuste est nécessaire
           •  PEAP (Protected Extensible Authentication Protocol)

•  Lorsque bien implanté, un réseau WiFi peut-être aussi
   sécuritaire ou même plus qu’un réseau filaire.

                       © 2011 Michel Cusin                      29
Attaques de réseaux sans fil
•  Aircrack-ng
   •  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK)

•  Airpwn (Sniff le trafic WiFi)
   •  Injecte du “faux” trafic (HTTP) - “Race condition”

•  AirJack (MITM)
   •  Désauthentifie, sniff, devient un AP, MITM

•  Karma (deviens tout ce que vous demandez)
   •  DHCP, DNS, HTTP, FTP, POP3, SMB

•  Karmetaploit (Karma + Metasploit)

•  PwnPlug

                           © 2011 Michel Cusin             30
PwnPlug: Hardware

•    CPU (1.2 GHz)
•    RAM (512 MB SDRAM)
•    HDD Flash (512 MB)
•    Prise(s) réseau Ethernet
•    Port USB 2.0
•    Expension SDHC (flash)




                           © 2011 Michel Cusin   31
PwnPlug: Software

•  Système d’exploitation: Linux

•  Outils:

   •    Metasploit                     •    SET (Social Engineer Toolkit)
   •    Ignuma & Fast-Track            •    JTR (John the Ripper)
   •    Nikto                          •    Medusa
   •    Dsniff                         •    Scapy
   •    Ettercap                       •    Kismet
   •    SSLstrip                       •    Karma
   •    Nmap                           •    Karmetasploit
   •    Nbtscan                        •    Aircrack-NG
   •    Netcat                         •    WEPbuster


                         © 2011 Michel Cusin                           32
Réseau sans fil “sécurisé”
     Réseau local
     (filaire)




    Point d’accès
    sans-fil
                                          Serveur
                                          d’authentification

                         Chiffrement & authentification
                         (WPA2 - PEAP)

Poste                       Assistant personnel
(sans-fil)                  (iPhone, Blackberry, etc..)

                    © 2011 Michel Cusin                        33
Réseau sans fil “non sécurisé”



                          Point d’accès sans-fil
                              non sécurisé




         © 2011 Michel Cusin                       34
Attaques de sites Web

•  Cross-Site Scripting (XSS)

•  Cross-Site Request Forgery (XSRF)

•  Command Injection

•  DDoS

•  Injection SQL: sqlmap*



                   © 2011 Michel Cusin   35
Garder un accès

Backdoors (Poison Ivy)          Rootkits:
                                (Applicatif & Kernel)




                  © 2011 Michel Cusin                   36
Garder un accès

•  Telnet, SSH, netcat

•  Désactiver ou reconfigurer le coupe-feu de Windows:
  (C:netsh firewall set opmode=disable)

•  VNC, Remote Desktop

•  Partage SMB (X.X.X.XC$)




                      © 2011 Michel Cusin                37
Effacer les traces




  © 2011 Michel Cusin   38
La sécurité au quotidien

•  Restez informé de ce qui se passe

•  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais…
   Il y a plus!

•  Connaissez et maitrisez votre environnement

•  La sécurité ne s’achète pas, elle se construit.

•  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas
   FAIT mal !




                        © 2011 Michel Cusin                            39
Honeypot (Honeynet)

•  Un honeypot, ou “pot de miel”, est un ordinateur ou un
   programme volontairement vulnérable destiné à attirer et à
   piéger les hackers.

•  Un honeynet est un réseau de honeypots.

                                       Surveillance
    Faible interaction                 Collecte d'information
    Haute interaction                  Analyse d'information




                                 http://www.honeynet.org/

                         © 2011 Michel Cusin                    40
Analyse de vulnérabilité vs Test d’intrusion


  AV      •  Reconnaissance (ramasser de l’information)
Pentest   •  Scanning (découvrir les failles)

Pentest   •  Attaque (exploiter les failles et vulnérabilités)

  AV
Pentest   •  Rapports, explications, solutions




                         © 2011 Michel Cusin                     41
Professionnel de la sécurité vs Pirate
 •  Planification:
     •  Type de test et contexte
     •  Portée (quoi)
     •  Règles d’engagement (comment)

 •  Tests:
     •  Les facteurs temps, portée et règles d’engagement
     •  La méthodologie
     •  Maintiens de la stabilité de la cible
     •  Outils

 •  Rapports:
     •  Exécutif, technique
     •  Explications, solutions, personnalisation

                        © 2011 Michel Cusin                 42
La gestion des incidents en 6 étapes

  Préparation

         Identification

                     Contenir

                            Éradication

                                   Rétablissement

                                             Leçons apprises




                     © 2011 Michel Cusin                       43
Conclusion
•  La menace est bien réelle et elle est là pour rester!

•  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites
   bouchées.

•  Testez votre sécurité avant que quelqu’un ne le fasse à votre place…

•  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent.

•  Pensez différemment, sortez des paradigmes.

•  La sécurité est un mode de vie, qui se vie au quotidien

•  Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance.
   Le reste viendra avec…

                         © 2011 Michel Cusin                              44
En terminant…



http://cusin.ca ou michel@cusin.ca




         © 2011 Michel Cusin         45

Contenu connexe

En vedette

Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
PaulineBouveau
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
chammem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Presentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskPresentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help desk
Raef Ghribi
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueRAUDIN33
 
LES JOINTURES
LES JOINTURESLES JOINTURES
LES JOINTURES
danaobrest
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
Patrick Guimonet
 
Secu SSI 2009
Secu SSI 2009Secu SSI 2009
Secu SSI 2009
AdminSquale21
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?
provadys
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
Sylvain Maret
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 

En vedette (19)

Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Presentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help deskPresentation pfe gestion parc informatique et help desk
Presentation pfe gestion parc informatique et help desk
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Snort implementation
Snort implementationSnort implementation
Snort implementation
 
Développement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométriqueDéveloppement d’un prototype logiciel pour l’analyse webométrique
Développement d’un prototype logiciel pour l’analyse webométrique
 
Sgbdr merise
Sgbdr meriseSgbdr merise
Sgbdr merise
 
LES JOINTURES
LES JOINTURESLES JOINTURES
LES JOINTURES
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
 
Secu SSI 2009
Secu SSI 2009Secu SSI 2009
Secu SSI 2009
 
Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?Cyber-attaques, où en sont les entreprises françaises ?
Cyber-attaques, où en sont les entreprises françaises ?
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 

Similaire à Intrusions et gestion d’incidents informatique

Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
michelcusin
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
Cyber Security Alliance
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
OPcyberland
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point
Antonio Fontes
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.
Inter-Ligere
 

Similaire à Intrusions et gestion d’incidents informatique (9)

Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point
 
Club ies 2012
Club ies 2012Club ies 2012
Club ies 2012
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.
 

Plus de michelcusin

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
michelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
michelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Plus de michelcusin (16)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Dernier

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 

Dernier (6)

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 

Intrusions et gestion d’incidents informatique

  • 1. Intrusions et gestion d’incidents informatique © 2011 Michel Cusin 1
  • 2. Agenda •  État de situation •  Qui sont nos adversaires •  Les types d’attaques et leurs cibles •  Les étapes d’une attaque •  Parce qu’un “hack” vaut 1000 mots… Des démos !!! •  Comment (tenter) de se protéger © 2011 Michel Cusin 2
  • 3. État de situation © 2011 Michel Cusin 3
  • 4. Quelques cas Quand Cible Qui Quoi 2010 (+) Wikileaks Anonymous DDoS - Services non disponibles Operation: Payback Mastercard, Visa Amazon, PayPal Février 2011 HBGary Anonymous Vol et Publication d’info confidentielle Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques 2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID Juin 2011 Google (Gmail) Chine Vol de mot de passe, interception de courriels Juin 2011 Citigroup ? Vol d’information de clients © 2011 Michel Cusin 4
  • 5. Quelques cas (suite) Quand Cible Qui Quoi Juin 2011 Sénat américain LulzSec Publication de la structure du site Web Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible Juin 2011 CIA LulzSec Site Web temporairement inaccessible Juin (+) OTAN Anonymous ? Vol de 1GB d’info 2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés 2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter Août 2011 72 organisations publiques Chine? McAfee Operation Shady RAT: Vol de secrets gouv, et privées dans 14 pays info corpo sensible, propriété intélectuelle Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres Source: CNET Hacker Chart © 2011 Michel Cusin 5
  • 6. Plus près de chez nous Quand Cible Qui Quoi Février 2007 RTSS ? Ver, botnet 2006 - 2008 Opération Basique 19 Québécois Botnet Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor. Juillet 2011 Canada, USA, France, Joseph Mercier Botnet opéré à partir de Laval Russie, Émirats Arabes Unis © 2011 Michel Cusin 6
  • 9. th3j35t3r (The Jester) © 2011 Michel Cusin 9
  • 10. Commander X According to a CBS News report, "Commander X" told their reporter that he had no fear about being caught: "We're not going to turn ourselves in. They can come and get us is what I say. Bring it on. Until then, we run... We will remain free and at liberty and at large for as long as we can, and when the time comes that each and every one of us eventually will be brought to justice, we will hold our head high in any court of law and we will defend our actions." Doyon is scheduled to appear on September 29th for a bail hearing. © 2011 Michel Cusin 10
  • 11. Stuxnet •  Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067) •  Attaque très spécifique: •  Windows •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens •  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses •  Modifie périodiquement la vitesse des moteurs de la centrifuge, causant des dommages. •  Cyber arme industrielle possiblement déployée par Israël visant a déstabiliser le programme nucléaire Iranien •  Et alors? © 2011 Michel Cusin 11
  • 12. Récapitulons (ne capitulons pas) Nous ne faisons pas face à des individus, mais à un mouvement qui n’obéit qu’à ses propres règles. Nous devons penser et agir en fonction de cette réalité. Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il faut savoir le traquer, le trouver et l’expulser. Afin de nous défendre, nous devons savoir qui ils sont et comment ils procèdent. Nous devons apprendre à mieux les connaitre et à savoir comment ils pensent. © 2011 Michel Cusin 12
  • 13. Sun Tzu Je dis que si tu te connais toi-même et que tu connais ton ennemi, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même, tu perdras toutes les batailles. –Sun Tzu, l’art de la guerre © 2011 Michel Cusin 13
  • 14. Qui sont les attaquants •  Script Kiddies •  Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$ •  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial) •  Employés (volontairement ou à leur insu) – Parfois les plus dangereux © 2011 Michel Cusin 14
  • 15. Motivations •  Argent (espionnage, avantage concurrentiel, mercenaire, etc…) •  Notoriété, gloire, réputation, etc… •  Politique / Activisme •  Parce que je peux… (opportunisme, apprentissage/découverte) •  Terrorisme (attaques et financement) •  Militaires © 2011 Michel Cusin 15
  • 16. Les types d’attaques •  Server-side Attacks (de l’externe) •  Client-side Attacks (de l’interne) •  Ingénierie Sociale (les gens) •  Sans-fil (interne et externe) •  Médias amovibles (Clés USB et autres) © 2011 Michel Cusin 16
  • 17. Cibles d’attaques •  Postes de travail (OS, applications, physique) •  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…) •  Équipements réseau (routeur, commutateur, concentrateur?) •  Téléphonie IP •  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth © 2011 Michel Cusin 17
  • 18. Étapes d’une attaque •  Reconnaissance (ramasser de l’information) •  Scanning (découvrir les failles) •  Attaque (exploiter les failles et vulnérabilités) •  Garder un accès (backdoor, porte dérobée, Rootkit) •  Effacer les traces (effacer/modifier les logs) © 2011 Michel Cusin 18
  • 19. Reconnaissance •  Site Web de la “cible”: •  Mission •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Et plus… •  Adresses IP et autres informations •  American Registry for Internet Numbers (ARIN) •  Whois (Qui) •  Nslookup (Quoi) •  www.centralops.net, Sam Spade © 2011 Michel Cusin 19
  • 20. Reconnaissance (2) •  Google: •  Requêtes (intitile, inurl, type, link, etc...) •  Google Hacking DataBase (GHDB) – Johnny Long •  Google Maps, Street View, Picassa, Cache, Groups, Blog •  Réseaux sociaux (Facebook, Twitter, LinkedIn) •  (CeWL) -> Liste de mots (uname/passwd) •  www.123people.ca, www.pipl.com •  www.archives.org (Wayback machine) © 2011 Michel Cusin 20
  • 21. Reconnaissance (3) •  Outils •  CeWL •  BiDiBLAH •  BiLE •  Gpscan (Profils Google) •  Gloodin •  Lazy Champ •  Sam Spade •  Foca (Metadata) •  Maltego* •  Etc… © 2011 Michel Cusin 21
  • 22. © 2011 Michel Cusin 22
  • 23. Scanning •  Balayage de ports •  Nmap* •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…) •  « OS Fingerprinting » - Déterminer la version du OS •  actif: Nmap, Xprobe •  Passif: p0f •  Balayage de vulnérabilités •  Nessus*, OpenVAS •  Découverte des vulnérabilités dans le bût de les exploiter © 2011 Michel Cusin 23
  • 25. Metasploit Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante. Interface Utilisateur Exploit 1 Payload 1 Exploit 2 Choix Payload 2 Exploit N Payload N Exploit 2 Payload 1 Stager Launcher Vers la cible © 2011 Michel Cusin 25
  • 26. Metasploit / Meterpreter •  Metasploit* •  Creation et encodage d’un “payload” malicieux (Meterpreter) •  Serveur écoutant les requêtes entrantes des victimes •  Meterpreter* (backdoor résident en mémoire injecté dans un dll) •  Donne un plein accès au poste de la victime •  Communications cryptées •  Lister contenue du poste, les ps, Hashdump, pivot, etc… •  “Shell is just the beginning…” © 2011 Michel Cusin 26
  • 27. Social-Engineer Toolkit (SET) 1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based Attack Vector 7) SMS Spoofing Attack Vector 8) Wireless Access Point Attack Vector 9) Third Party Modules ! © 2011 Michel Cusin 27
  • 28. Attaques de mots de passe •  Guessing: THC Hydra, Medusa; •  Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt) •  Sniffing: Cain, tcpdump, Wireshark; •  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit; © 2011 Michel Cusin 28
  • 29. Attaques de réseaux sans fil •  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…) •  Filtrer par adresses MAC et cacher le SSID = inutile ! •  WEP, WPA, WPA2 -> Tous “crackables” •  Faiblesse au niveau des initialization vector (IV) •  Une authentification robuste est nécessaire •  PEAP (Protected Extensible Authentication Protocol) •  Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu’un réseau filaire. © 2011 Michel Cusin 29
  • 30. Attaques de réseaux sans fil •  Aircrack-ng •  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK) •  Airpwn (Sniff le trafic WiFi) •  Injecte du “faux” trafic (HTTP) - “Race condition” •  AirJack (MITM) •  Désauthentifie, sniff, devient un AP, MITM •  Karma (deviens tout ce que vous demandez) •  DHCP, DNS, HTTP, FTP, POP3, SMB •  Karmetaploit (Karma + Metasploit) •  PwnPlug © 2011 Michel Cusin 30
  • 31. PwnPlug: Hardware •  CPU (1.2 GHz) •  RAM (512 MB SDRAM) •  HDD Flash (512 MB) •  Prise(s) réseau Ethernet •  Port USB 2.0 •  Expension SDHC (flash) © 2011 Michel Cusin 31
  • 32. PwnPlug: Software •  Système d’exploitation: Linux •  Outils: •  Metasploit •  SET (Social Engineer Toolkit) •  Ignuma & Fast-Track •  JTR (John the Ripper) •  Nikto •  Medusa •  Dsniff •  Scapy •  Ettercap •  Kismet •  SSLstrip •  Karma •  Nmap •  Karmetasploit •  Nbtscan •  Aircrack-NG •  Netcat •  WEPbuster © 2011 Michel Cusin 32
  • 33. Réseau sans fil “sécurisé” Réseau local (filaire) Point d’accès sans-fil Serveur d’authentification Chiffrement & authentification (WPA2 - PEAP) Poste Assistant personnel (sans-fil) (iPhone, Blackberry, etc..) © 2011 Michel Cusin 33
  • 34. Réseau sans fil “non sécurisé” Point d’accès sans-fil non sécurisé © 2011 Michel Cusin 34
  • 35. Attaques de sites Web •  Cross-Site Scripting (XSS) •  Cross-Site Request Forgery (XSRF) •  Command Injection •  DDoS •  Injection SQL: sqlmap* © 2011 Michel Cusin 35
  • 36. Garder un accès Backdoors (Poison Ivy) Rootkits: (Applicatif & Kernel) © 2011 Michel Cusin 36
  • 37. Garder un accès •  Telnet, SSH, netcat •  Désactiver ou reconfigurer le coupe-feu de Windows: (C:netsh firewall set opmode=disable) •  VNC, Remote Desktop •  Partage SMB (X.X.X.XC$) © 2011 Michel Cusin 37
  • 38. Effacer les traces © 2011 Michel Cusin 38
  • 39. La sécurité au quotidien •  Restez informé de ce qui se passe •  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais… Il y a plus! •  Connaissez et maitrisez votre environnement •  La sécurité ne s’achète pas, elle se construit. •  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas FAIT mal ! © 2011 Michel Cusin 39
  • 40. Honeypot (Honeynet) •  Un honeypot, ou “pot de miel”, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers. •  Un honeynet est un réseau de honeypots. Surveillance Faible interaction Collecte d'information Haute interaction Analyse d'information http://www.honeynet.org/ © 2011 Michel Cusin 40
  • 41. Analyse de vulnérabilité vs Test d’intrusion AV •  Reconnaissance (ramasser de l’information) Pentest •  Scanning (découvrir les failles) Pentest •  Attaque (exploiter les failles et vulnérabilités) AV Pentest •  Rapports, explications, solutions © 2011 Michel Cusin 41
  • 42. Professionnel de la sécurité vs Pirate •  Planification: •  Type de test et contexte •  Portée (quoi) •  Règles d’engagement (comment) •  Tests: •  Les facteurs temps, portée et règles d’engagement •  La méthodologie •  Maintiens de la stabilité de la cible •  Outils •  Rapports: •  Exécutif, technique •  Explications, solutions, personnalisation © 2011 Michel Cusin 42
  • 43. La gestion des incidents en 6 étapes Préparation Identification Contenir Éradication Rétablissement Leçons apprises © 2011 Michel Cusin 43
  • 44. Conclusion •  La menace est bien réelle et elle est là pour rester! •  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées. •  Testez votre sécurité avant que quelqu’un ne le fasse à votre place… •  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent. •  Pensez différemment, sortez des paradigmes. •  La sécurité est un mode de vie, qui se vie au quotidien •  Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance. Le reste viendra avec… © 2011 Michel Cusin 44
  • 45. En terminant… http://cusin.ca ou michel@cusin.ca © 2011 Michel Cusin 45