SlideShare une entreprise Scribd logo

Tour d’horizon des méthodes de vol d’information

ISSA France Security Tuesday
ISSA France Security Tuesday

Présentation effectuée par M. Hervé Michelland lors de l'inauguration des #SecurityTuesday en région PACA le mardi 10 juin à Antibes. #STRPACA

Présentations et discours publics
1  sur  28
Tour d’horizon des méthodes de vol d’information
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 2 Sommaire • Qu’est-ce que la Réserve citoyenne cyberdéfense ? • Spécificités des cyber-menaces • Les méthodes utilisées • Protéger son identité numérique • Que faire en cas de piratage • Questions / réponses
Qu’est-ce que la Réserve citoyenne cyberdéfense ?
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 4 La Réserve Citoyenne Cyberdéfense La RCC a été crée à la suite du rapport du Sénateur Jean-Marie Bockel en 2012. Ce rapport a notamment mis en évidence le retard de notre pays en matière de cyberdéfense, et ses conséquences (ex. pillage des entreprises) La RCC rassemble des professionnels de la sécurité informatique qui souhaitent – de manière bénévole – mettre à disposition leurs compétences. Rejoindre la Réserve est un engagement citoyen et patriote. Nos actions sont essentiellement pédagogiques. Les interventions sont réalisées auprès de collectivités, d’entreprises, d’administrations, d’établissements scolaires, de journalistes, de personnalités politiques, etc.
Spécificités des cyber-menaces
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 6 Côté attaquant : • Outils d’attaque faciles à trouver, nécessitant peu de compétences techniques, peu chers (voir gratuits), • Attaques éphémères, auteurs difficiles à identifier (ex. réseau TOR), • Opérations très rentables, • Il suffit de réussir une seule fois… Côté défenseur : • Défense coûteuse (Opex et Capex), • Difficile à maintenir (SI ouvert et en constante évolution), • Nécessite de fortes compétences techniques, • Doit être opérationnelle 24h/24, 365j / an, • Des contraintes juridiques de plus en plus fortes pour les entreprises (ex. obligation de publication en cas de perte de données clients) Black-hat vs White–hat… le match
Les méthodes utilisées
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 8 Les réseaux sociaux Contexte L’utilisation des réseaux sociaux privés et professionnels a explosé ces dernières années. Rapidement, des problèmes de divulgation d’informations, et de respect de la vie privée sont apparus (notamment le droit à l’oubli). Ces questions se posent dans la sphère professionnelle. Exploitation Les réseaux sociaux sont de parfaites sources d’information pour de l’ingénierie sociale. Plusieurs virus ont aussi été crées pour s’y propager (notamment sur Twitter) Quelques chiffres 25% des fuites d’informations sensibles sont issues des réseaux sociaux 15% des profils contiennent des informations professionnelles sensibles
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 9 Les réseaux sociaux - cas concret Le Tigre : Marc L. Genèse d’un buzz médiatique Ce journal a l’idée de prendre une personne au hasard, de collecter toutes ses traces publiées librement sur internet, et d’en faire un article… http://www.le-tigre.net/Marc-L.html Facebook sort bientôt Graph-Search En combinant votre profil, les pages « aimées », les lieux visités, les employeurs déclarés, Graph-Search répond à toutes sortes de questions : • Quel film a été le plus apprécié de mes collègues • Qui est syndiqué dans mon entreprise, • Y a t’il des scientologues dans mon quartier ? http://rezonances.blog.lemonde.fr/2013/02/09/nous-avons-teste-graph-search-le-nouveau-moteur-de-recherche-sur-facebook/ Quand l’industrie de la défense traque sur les réseaux sociaux La société Raytheon a développé RIOT (Rapid Information Overlay Technology). Ce logiciel utilise les données des réseaux sociaux pour traquer les personnes et prédire leurs déplacements futurs. http://www.numerama.com/magazine/25070-raytheon-riot-l-espion-que-vous-nourrissez-d-informations.html
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 10 Utilisation de services grand public Définition De plus en plus de personnes utilisent dans le cadre de leur activité professionnelle, des outils prévus pour le grand public : messagerie web (yahoo mail, gmail, hotmail…), calendriers partagés (google Calendar), échange de fichiers (Dropbox, etc.), travail collaboratif (google doc), téléphonie (Skype). Problèmes rencontrés Ces services ont été prévus pour le grand public, afin d’échanger de manière gratuite des informations. Mais la sécurité qui accompagne ces services est à l’image du prix payé par ses utilisateurs…. Les niveaux de disponibilité, d’intégrité et surtout de confidentialité proposés ne sont pas compatibles avec des besoins professionnels
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 11 « Vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout contenu que vous avez fourni, publié ou affiché sur les services Google ou par le biais de ces derniers. » Conclusion Il est facile de comprendre l’incompatibilité entre ces services et une activité professionnelle….. Utilisation de services grand public – cas concret Extrait des Conditions Générales d’Utilisation des services de Google (Gmail, Google Calendar, Picasa, Google+, etc…)
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 12 Les smartphones Définition Se dit d’un téléphone fournissant des fonctionnalités d'agenda, de calendrier, de navigation internet, de consultation de courrier électronique, de messagerie instantanée, de GPS, etc. La quantité d’informations professionnelle sensibles qu’ils contiennent est souvent sous estimée. Exploitation Les utilisateurs protègent rarement leur smartphones via un code. Pire un cinquième des codes sont très faciles à deviner (ex 1234, 0000, 2580, etc). Par ailleurs, le nombre de vol de smartphone a explosé depuis 2011 … Ces téléphones représentent un risque réel de divulgation d’informations.
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 13 Les smartphones – cas concret Piratage d’Iphone Début 2011, un expert allemand publie sur Youtube une vidéo ou il pirate (de manière très simple) un Iphone en 6min. Apparait alors en clair tous les mots de passe stockés dans le téléphone (censés être chiffrés) Android Market … attention danger Sur les 30 applications les plus populaires: • 7 transmettent le n° de série du téléphone • 15 envoient vos données de géolocalisation Aucune vous demandent l’autorisation… 80% des applications qui accèdent à vos informations privées le font sans autorisation de l’utilisateur
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 14 Vol d’ordinateurs portables • En 2010, 3.300 portables étaient volés chaque semaine dans les 8 principaux aéroports Européens • La majorité des victimes déclaraient détenir des informations confidentielles • Plus de la moitié des postes n’avaient aucune mesure de protection particulière http://www.lefigaro.fr/actualite-france/2010/01/30/01016-20100130ARTFIG00186-ces-ordinateurs- victimes-des-aeroports-et-des-gares-.php Sous cet éclairage, les commentaires du démonstrateur de la société Raytheon prennent un nouvel aspect : « Si vous voulez mettre la main sur Nick, ou mettre la main sur son ordinateur portable, vous devriez visiter la salle de sport le lundi matin à 6 heures » http://www.numerama.com/magazine/25070-raytheon-riot-l-espion-que-vous-nourrissez-d-informations.html Exemples de solutions agrées ANSSI: • TrueCrypt (logiciel gratuit) • Prim’x Zed! (logiciel payant) • Globull (hardware payant) Le Scytale
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 15 Définition Se dit d’intrusions qui mêlent l’ingénierie sociale, et l’exploitation de failles techniques. Ce type d’attaque se doit d’être aussi discret que possible afin de rester en place le plus longtemps possible. Le but est exclusivement le vol d’informations En 2011, a été découvert un virus (W32.Duqu) dédié à l’exfiltration d’informations. Totalement furtif, il s’autodétruit au bout de 36 jours. Les menaces persistantes avancées Exploitation Ce type d’attaque nécessite de réelles compétences techniques : par exemple fabriquer une pièce jointe contenant un code malicieux exploitant une vulnérabilité précise. Sinon, des logiciels spécialisés sont disponibles pour quelques dizaines / centaines d’Euros (ex. BlackShades)
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 16 Les faits Début 2011, 150 postes du ministère de l’Economie, des Finances et de l’Industrie ont été piratées. Découverte du piratage par hasard. La cible Les informations volées concernaient l’organisation du sommet G20, et la politique de la France au niveau international. L’origine de l’attaque n’a pas été communiqué. Certitude d’un piratage « d’Etat » Méthode utilisée Usurpation de l’email d’une personne pour diffuser un mail avec un fichier corrompu (PDF). Ce dernier a permis le téléchargement d’un cheval de Troie Faille technique Exploitation d’une vulnérabilité du logiciel Acrobat Reader (non mis à jour) Depuis ce type d’attaque se multiplie (Elysée, Sony, RSA, Interpole, OTAN…) Les menaces persistantes avancées – cas concret
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 17 Les codes malveillants Définition Se dit d’un programme ayant pour but de s’installer dans l’ordinateur à l’insu de son utilisateur. Une fois installé, le programme peut tout faire : • Exfiltrer des documents, • Chiffrer tout ou partie du disque dur (ransonware) • Se propager (ordinateurs alentours, smartphones, box…) • Allumer la webcam, le micro pour espionner l’utilisateur, • Enregistrer les mots de passe (notamment bancaires) • Participer à des actions de déni de services • Etc. Accessibilité Sur le marché noir un rootkit ne coute que quelques centaines d’euros Les plus gros botnets se mesurent en millions de PC
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 18 Du wifi à tous les étages !! Une immense majorité de personnes est prête à se connecter à n’importe quel réseau wifi … du moment ou il est gratuit Mais le wifi permet très simplement de voler identifiants, mots de passes, n° de carte bleu, etc. Conseils • N’utilisez jamais de réseau wifi gratuit (la gratuité n’existe pas) • Si vous vous connectez à un réseau opérateur, assurez- vous d’être en HTTPS, et regardez très attentivement l’URL de connexion
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 19 La corbeille à papier… Si la cible est géographiquement proche, il est souvent plus simple qu’il n’y parait de récupérer les informations au format papier. Quelques méthodes • Faire les poubelles (sur le domaine publique) • Soudoyer la femme de ménage (voir la société en charge du nettoyage) • Récupérer les disques durs des imprimantes Anecdote Une collectivité publie un important appel d’offre. Une société locale - s’y prenant trop tard - comprend qu’elle n’aura pas le temps de répondre. Avant la date de clôture, le PDG de la société s’est présenté à la Préfecture avec les grilles d’évaluation des réponses. L’appel d’offre a été annulé, lui laissant le temps de rédiger sa réponse… Conseils • 1 imprimante = 1 broyeur • Politique de bureau propre • Généraliser l’impression sécurisée (en plus c’est écologique !!)
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 20 L’approche physique Généralités Dans l’hypothèse (improbable) ou la sécurité périmétrique de la cible est robuste, l’approche physique est toujours possible. Par exemple : • Rencontrer un interlocuteur dans l’entreprise, lui faire une présentation, puis lui tendre une clé USB pour qu’il récupère le PowerPoint, • Offrir un smartphone à son interlocuteur (mais oui c’est rentable !!), • Proposer une application pour smartphone, • Installer un keylogger sur la machine (voir diapositive suivante) Attention à l’effet domino Le piratage du smartphone permettra celui du poste de travail, donc celui des documents sur le réseau, de tout ou partie de la messagerie, etc.
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 21 L’approche physique – cas concret Le keylogger (ou enregistreur de frappe) Equipement ou logiciel permettant d’enregistrer les touches frappées sur le clavier d’un ordinateur. Le keylogger se charge d’envoyer les informations collectées à son commanditaire (via mail, IM, ftp, etc. Si la version logicielle peut être détectée par un logiciel, la version matériel est quasi impossible à trouver (sauf en contrôle visuel) Les versions les plus sophistiquées (wifi) coutent … 40€ (lol) Une version pour l’écran est disponible. Elle fait une capture d’écran toutes les x secondes et les envoie au commanditaire (ou les garde en mémoire)
Protéger son identité numérique
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 23 L’authentification… c’est quoi ? Pour m’authentifier j’ai besoin : • D’un identifiant : matricule, adresse mail, « prénom.nom », etc. • D’un mot de passe: je dois le personnaliser et le changer régulièrement Un compte utilisateur est personnel. Je ne dois – sous aucun prétexte – le prêter - à un tiers (que ce soit un collègue, mon supérieur hiérarchique, le helpdesk, etc.). L’utilisation de mon compte utilisateur engage entièrement ma responsabilité (notamment juridique). Finalement, votre identité numérique repose grandement sur votre mot de passe… Au fait, est il robuste ?
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 24 La robustesse d’un mot de passe Temps nécessaire pour casser un mot de passe à partir d’1 seul ordinateur Longueur Lettres minuscules + Majuscules + Chiffres + Caractères spéciaux 6 caractères 3 sec 15 sec 10 min 2 h 7 caractères 1 min 5 min 10 h 8 j 8 caractères 35 min 2 h 5 j 3 mois 9 caractères 4 h 12 h 1 mois 10 ans Calcul ne prenant en compte aucune optimisation (ex. utilisation d’un dictionnaire)… La puissance d’un ordinateur double tous les 18 mois… Dans 3 ans les temps nécessaires seront divisés par 4 !
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 25 Comment choisir son mot de passe Astuce 1 - Prendre la 1ère lettre d’une phrase Ex. L’ISSA à Juan les Pins c’est la classe ! Donne : « L’IàJlPclc! » Astuce 2 – Faire une combinaison « géométrique » sur le clavier Astuce 3 – Changer les lettre d’un mot Ex. Isabelle Donne : « Is@b€lle» ou « 1s@belle », etc…
Que faire en cas de piratage ?
© 2002 Cap Gemini Ernst & Young - All rights reserved Page 27 Que faire en cas de piratage • Vous constatez une intrusion ou une tentative d’intrusion dans votre système d’information ? • Des données ont été modifiées, introduites ou supprimées ? • Quelqu’un tente d’entraver le bon fonctionnement de votre système d’information ? Préservez les preuves • Dans la mesure du possible n’éteignez pas la machine impactée. • Parfois il est même préférable de laisser la connexion réseau (pour mieux tracer l’origine de l’intrusion Déposez plainte Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) Dépend de la Direction centrale de la Police judiciaire. Tél. : 01 47 44 97 55
28 Avez-vous des questions ? Hervé MICHELLAND hmichelland@hotmail.com 06.77.99.44.90

Recommandé

la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique Mohamed Aguezzar
 
PRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesPRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesVINCIT SPRL - STRATEGY
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTechnologies
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Omc201409
Omc201409Omc201409
Omc201409tfares1
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 

Recommandé

la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique Mohamed Aguezzar
 
PRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesPRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesVINCIT SPRL - STRATEGY
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTechnologies
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Omc201409
Omc201409Omc201409
Omc201409tfares1
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.meryam benboubker
 
Ianp 2019
Ianp 2019Ianp 2019
Ianp 2019OPcyberland
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...eGov Innovation Center
 
Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2ESTACOM Bourges - Communication | Créativité | Digital
 
AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011Abdeljalil AGNAOU
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence ArtificiellePersonal Interactor
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpdPersonal Interactor
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Aref Jdey
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...Symantec
 
UP 2019-2020 Le vrai/faux à l'heure du numérique
UP 2019-2020 Le vrai/faux à l'heure du numériqueUP 2019-2020 Le vrai/faux à l'heure du numérique
UP 2019-2020 Le vrai/faux à l'heure du numériquemediatheque Capi
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Valdes Nzalli
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesAntoine Vigneron
 

Contenu connexe

Tendances

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.meryam benboubker
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...eGov Innovation Center
 
AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011Abdeljalil AGNAOU
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence ArtificiellePersonal Interactor
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Aref Jdey
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...Symantec
 
UP 2019-2020 Le vrai/faux à l'heure du numérique
UP 2019-2020 Le vrai/faux à l'heure du numériqueUP 2019-2020 Le vrai/faux à l'heure du numérique
UP 2019-2020 Le vrai/faux à l'heure du numériquemediatheque Capi
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 

Tendances (17)

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.
 
Ianp 2019
Ianp 2019Ianp 2019
Ianp 2019
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
 
Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2
 
AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
UP 2019-2020 Le vrai/faux à l'heure du numérique
UP 2019-2020 Le vrai/faux à l'heure du numériqueUP 2019-2020 Le vrai/faux à l'heure du numérique
UP 2019-2020 Le vrai/faux à l'heure du numérique
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 

En vedette

Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Valdes Nzalli
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesAntoine Vigneron
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Arrow Institute
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Session 4 - Systematic au service du développement des entreprises
Session 4 - Systematic au service du développement des entreprisesSession 4 - Systematic au service du développement des entreprises
Session 4 - Systematic au service du développement des entreprisesPôle Systematic Paris-Region
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalEY
 
Uniformation - Les Essentiels
Uniformation - Les EssentielsUniformation - Les Essentiels
Uniformation - Les EssentielsUniformation
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...Claudy75
 
Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...
Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...
Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...Ministère de l'Économie et des Finances
 
Sor Silvia en Guadalupe
Sor Silvia en GuadalupeSor Silvia en Guadalupe
Sor Silvia en GuadalupeChinca FMA
 

En vedette (20)

Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
Cam cybersec fgi_reseaux_sociaux_et_securite_version_1.1
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
 
Cryptographie quantique
Cryptographie quantiqueCryptographie quantique
Cryptographie quantique
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Session 4 - Systematic au service du développement des entreprises
Session 4 - Systematic au service du développement des entreprisesSession 4 - Systematic au service du développement des entreprises
Session 4 - Systematic au service du développement des entreprises
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
Uniformation - Les Essentiels
Uniformation - Les EssentielsUniformation - Les Essentiels
Uniformation - Les Essentiels
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 
Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...
Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...
Guide pratique-dematerialisation-mp (DAJ) http://www.economie.gouv.fr/directi...
 
Viva la_ú
Viva la_úViva la_ú
Viva la_ú
 
Priego calles andaluzas
Priego calles andaluzasPriego calles andaluzas
Priego calles andaluzas
 
Sor Silvia en Guadalupe
Sor Silvia en GuadalupeSor Silvia en Guadalupe
Sor Silvia en Guadalupe
 

Similaire à Tour d’horizon des méthodes de vol d’information

Intervention Jerome Bondu TELMI
Intervention Jerome Bondu TELMIIntervention Jerome Bondu TELMI
Intervention Jerome Bondu TELMIInter-Ligere
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxHbJlm
 
Mobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menacesMobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menaceseGov Innovation Center
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitterSentryo
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Christophe Boeraeve
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Elia Consulting, les Français et le Big Data
Elia Consulting, les Français et le Big DataElia Consulting, les Français et le Big Data
Elia Consulting, les Français et le Big DataElia Consulting
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprisemariejura
 

Similaire à Tour d’horizon des méthodes de vol d’information (20)

Intervention Jerome Bondu TELMI
Intervention Jerome Bondu TELMIIntervention Jerome Bondu TELMI
Intervention Jerome Bondu TELMI
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptx
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
 
Mobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menacesMobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menaces
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter
 
Forum International de la Cybercriminalité 2015
Forum International de la Cybercriminalité 2015Forum International de la Cybercriminalité 2015
Forum International de la Cybercriminalité 2015
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Elia Consulting, les Français et le Big Data
Elia Consulting, les Français et le Big DataElia Consulting, les Français et le Big Data
Elia Consulting, les Français et le Big Data
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
 
Welcome in the World Wild Web
Welcome in the World Wild WebWelcome in the World Wild Web
Welcome in the World Wild Web
 

Plus de ISSA France Security Tuesday

Communiqué de Presse Lancement Afterwork Régionaux PACA
Communiqué de Presse Lancement Afterwork Régionaux PACACommuniqué de Presse Lancement Afterwork Régionaux PACA
Communiqué de Presse Lancement Afterwork Régionaux PACAISSA France Security Tuesday
 
CitiZENSec CyberSecMonth Awareness Campaign Infographic
CitiZENSec CyberSecMonth Awareness Campaign InfographicCitiZENSec CyberSecMonth Awareness Campaign Infographic
CitiZENSec CyberSecMonth Awareness Campaign InfographicISSA France Security Tuesday
 
ISSA France Chapter Meeting Supporting Slides November 2013
ISSA France Chapter Meeting Supporting Slides November 2013ISSA France Chapter Meeting Supporting Slides November 2013
ISSA France Chapter Meeting Supporting Slides November 2013ISSA France Security Tuesday
 
ISSA France Security Tuesday AfterWork September 2012
ISSA France Security Tuesday AfterWork September 2012ISSA France Security Tuesday AfterWork September 2012
ISSA France Security Tuesday AfterWork September 2012ISSA France Security Tuesday
 

Plus de ISSA France Security Tuesday (6)

ISSA France - Atteindre, Convaincre, Influer
ISSA France - Atteindre, Convaincre, InfluerISSA France - Atteindre, Convaincre, Influer
ISSA France - Atteindre, Convaincre, Influer
 
Communiqué de Presse Lancement Afterwork Régionaux PACA
Communiqué de Presse Lancement Afterwork Régionaux PACACommuniqué de Presse Lancement Afterwork Régionaux PACA
Communiqué de Presse Lancement Afterwork Régionaux PACA
 
CitiZENSec CyberSecMonth Awareness Campaign Infographic
CitiZENSec CyberSecMonth Awareness Campaign InfographicCitiZENSec CyberSecMonth Awareness Campaign Infographic
CitiZENSec CyberSecMonth Awareness Campaign Infographic
 
ISSA France Chapter Meeting Supporting Slides November 2013
ISSA France Chapter Meeting Supporting Slides November 2013ISSA France Chapter Meeting Supporting Slides November 2013
ISSA France Chapter Meeting Supporting Slides November 2013
 
SecurityTuesday Personal Branding 2012
SecurityTuesday Personal Branding 2012SecurityTuesday Personal Branding 2012
SecurityTuesday Personal Branding 2012
 
ISSA France Security Tuesday AfterWork September 2012
ISSA France Security Tuesday AfterWork September 2012ISSA France Security Tuesday AfterWork September 2012
ISSA France Security Tuesday AfterWork September 2012
 

Tour d’horizon des méthodes de vol d’information

  • 1. Tour d’horizon des méthodes de vol d’information
  • 2. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 2 Sommaire • Qu’est-ce que la Réserve citoyenne cyberdéfense ? • Spécificités des cyber-menaces • Les méthodes utilisées • Protéger son identité numérique • Que faire en cas de piratage • Questions / réponses
  • 3. Qu’est-ce que la Réserve citoyenne cyberdéfense ?
  • 4. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 4 La Réserve Citoyenne Cyberdéfense La RCC a été crée à la suite du rapport du Sénateur Jean-Marie Bockel en 2012. Ce rapport a notamment mis en évidence le retard de notre pays en matière de cyberdéfense, et ses conséquences (ex. pillage des entreprises) La RCC rassemble des professionnels de la sécurité informatique qui souhaitent – de manière bénévole – mettre à disposition leurs compétences. Rejoindre la Réserve est un engagement citoyen et patriote. Nos actions sont essentiellement pédagogiques. Les interventions sont réalisées auprès de collectivités, d’entreprises, d’administrations, d’établissements scolaires, de journalistes, de personnalités politiques, etc.
  • 6. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 6 Côté attaquant : • Outils d’attaque faciles à trouver, nécessitant peu de compétences techniques, peu chers (voir gratuits), • Attaques éphémères, auteurs difficiles à identifier (ex. réseau TOR), • Opérations très rentables, • Il suffit de réussir une seule fois… Côté défenseur : • Défense coûteuse (Opex et Capex), • Difficile à maintenir (SI ouvert et en constante évolution), • Nécessite de fortes compétences techniques, • Doit être opérationnelle 24h/24, 365j / an, • Des contraintes juridiques de plus en plus fortes pour les entreprises (ex. obligation de publication en cas de perte de données clients) Black-hat vs White–hat… le match
  • 8. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 8 Les réseaux sociaux Contexte L’utilisation des réseaux sociaux privés et professionnels a explosé ces dernières années. Rapidement, des problèmes de divulgation d’informations, et de respect de la vie privée sont apparus (notamment le droit à l’oubli). Ces questions se posent dans la sphère professionnelle. Exploitation Les réseaux sociaux sont de parfaites sources d’information pour de l’ingénierie sociale. Plusieurs virus ont aussi été crées pour s’y propager (notamment sur Twitter) Quelques chiffres 25% des fuites d’informations sensibles sont issues des réseaux sociaux 15% des profils contiennent des informations professionnelles sensibles
  • 9. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 9 Les réseaux sociaux - cas concret Le Tigre : Marc L. Genèse d’un buzz médiatique Ce journal a l’idée de prendre une personne au hasard, de collecter toutes ses traces publiées librement sur internet, et d’en faire un article… http://www.le-tigre.net/Marc-L.html Facebook sort bientôt Graph-Search En combinant votre profil, les pages « aimées », les lieux visités, les employeurs déclarés, Graph-Search répond à toutes sortes de questions : • Quel film a été le plus apprécié de mes collègues • Qui est syndiqué dans mon entreprise, • Y a t’il des scientologues dans mon quartier ? http://rezonances.blog.lemonde.fr/2013/02/09/nous-avons-teste-graph-search-le-nouveau-moteur-de-recherche-sur-facebook/ Quand l’industrie de la défense traque sur les réseaux sociaux La société Raytheon a développé RIOT (Rapid Information Overlay Technology). Ce logiciel utilise les données des réseaux sociaux pour traquer les personnes et prédire leurs déplacements futurs. http://www.numerama.com/magazine/25070-raytheon-riot-l-espion-que-vous-nourrissez-d-informations.html
  • 10. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 10 Utilisation de services grand public Définition De plus en plus de personnes utilisent dans le cadre de leur activité professionnelle, des outils prévus pour le grand public : messagerie web (yahoo mail, gmail, hotmail…), calendriers partagés (google Calendar), échange de fichiers (Dropbox, etc.), travail collaboratif (google doc), téléphonie (Skype). Problèmes rencontrés Ces services ont été prévus pour le grand public, afin d’échanger de manière gratuite des informations. Mais la sécurité qui accompagne ces services est à l’image du prix payé par ses utilisateurs…. Les niveaux de disponibilité, d’intégrité et surtout de confidentialité proposés ne sont pas compatibles avec des besoins professionnels
  • 11. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 11 « Vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout contenu que vous avez fourni, publié ou affiché sur les services Google ou par le biais de ces derniers. » Conclusion Il est facile de comprendre l’incompatibilité entre ces services et une activité professionnelle….. Utilisation de services grand public – cas concret Extrait des Conditions Générales d’Utilisation des services de Google (Gmail, Google Calendar, Picasa, Google+, etc…)
  • 12. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 12 Les smartphones Définition Se dit d’un téléphone fournissant des fonctionnalités d'agenda, de calendrier, de navigation internet, de consultation de courrier électronique, de messagerie instantanée, de GPS, etc. La quantité d’informations professionnelle sensibles qu’ils contiennent est souvent sous estimée. Exploitation Les utilisateurs protègent rarement leur smartphones via un code. Pire un cinquième des codes sont très faciles à deviner (ex 1234, 0000, 2580, etc). Par ailleurs, le nombre de vol de smartphone a explosé depuis 2011 … Ces téléphones représentent un risque réel de divulgation d’informations.
  • 13. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 13 Les smartphones – cas concret Piratage d’Iphone Début 2011, un expert allemand publie sur Youtube une vidéo ou il pirate (de manière très simple) un Iphone en 6min. Apparait alors en clair tous les mots de passe stockés dans le téléphone (censés être chiffrés) Android Market … attention danger Sur les 30 applications les plus populaires: • 7 transmettent le n° de série du téléphone • 15 envoient vos données de géolocalisation Aucune vous demandent l’autorisation… 80% des applications qui accèdent à vos informations privées le font sans autorisation de l’utilisateur
  • 14. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 14 Vol d’ordinateurs portables • En 2010, 3.300 portables étaient volés chaque semaine dans les 8 principaux aéroports Européens • La majorité des victimes déclaraient détenir des informations confidentielles • Plus de la moitié des postes n’avaient aucune mesure de protection particulière http://www.lefigaro.fr/actualite-france/2010/01/30/01016-20100130ARTFIG00186-ces-ordinateurs- victimes-des-aeroports-et-des-gares-.php Sous cet éclairage, les commentaires du démonstrateur de la société Raytheon prennent un nouvel aspect : « Si vous voulez mettre la main sur Nick, ou mettre la main sur son ordinateur portable, vous devriez visiter la salle de sport le lundi matin à 6 heures » http://www.numerama.com/magazine/25070-raytheon-riot-l-espion-que-vous-nourrissez-d-informations.html Exemples de solutions agrées ANSSI: • TrueCrypt (logiciel gratuit) • Prim’x Zed! (logiciel payant) • Globull (hardware payant) Le Scytale
  • 15. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 15 Définition Se dit d’intrusions qui mêlent l’ingénierie sociale, et l’exploitation de failles techniques. Ce type d’attaque se doit d’être aussi discret que possible afin de rester en place le plus longtemps possible. Le but est exclusivement le vol d’informations En 2011, a été découvert un virus (W32.Duqu) dédié à l’exfiltration d’informations. Totalement furtif, il s’autodétruit au bout de 36 jours. Les menaces persistantes avancées Exploitation Ce type d’attaque nécessite de réelles compétences techniques : par exemple fabriquer une pièce jointe contenant un code malicieux exploitant une vulnérabilité précise. Sinon, des logiciels spécialisés sont disponibles pour quelques dizaines / centaines d’Euros (ex. BlackShades)
  • 16. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 16 Les faits Début 2011, 150 postes du ministère de l’Economie, des Finances et de l’Industrie ont été piratées. Découverte du piratage par hasard. La cible Les informations volées concernaient l’organisation du sommet G20, et la politique de la France au niveau international. L’origine de l’attaque n’a pas été communiqué. Certitude d’un piratage « d’Etat » Méthode utilisée Usurpation de l’email d’une personne pour diffuser un mail avec un fichier corrompu (PDF). Ce dernier a permis le téléchargement d’un cheval de Troie Faille technique Exploitation d’une vulnérabilité du logiciel Acrobat Reader (non mis à jour) Depuis ce type d’attaque se multiplie (Elysée, Sony, RSA, Interpole, OTAN…) Les menaces persistantes avancées – cas concret
  • 17. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 17 Les codes malveillants Définition Se dit d’un programme ayant pour but de s’installer dans l’ordinateur à l’insu de son utilisateur. Une fois installé, le programme peut tout faire : • Exfiltrer des documents, • Chiffrer tout ou partie du disque dur (ransonware) • Se propager (ordinateurs alentours, smartphones, box…) • Allumer la webcam, le micro pour espionner l’utilisateur, • Enregistrer les mots de passe (notamment bancaires) • Participer à des actions de déni de services • Etc. Accessibilité Sur le marché noir un rootkit ne coute que quelques centaines d’euros Les plus gros botnets se mesurent en millions de PC
  • 18. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 18 Du wifi à tous les étages !! Une immense majorité de personnes est prête à se connecter à n’importe quel réseau wifi … du moment ou il est gratuit Mais le wifi permet très simplement de voler identifiants, mots de passes, n° de carte bleu, etc. Conseils • N’utilisez jamais de réseau wifi gratuit (la gratuité n’existe pas) • Si vous vous connectez à un réseau opérateur, assurez- vous d’être en HTTPS, et regardez très attentivement l’URL de connexion
  • 19. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 19 La corbeille à papier… Si la cible est géographiquement proche, il est souvent plus simple qu’il n’y parait de récupérer les informations au format papier. Quelques méthodes • Faire les poubelles (sur le domaine publique) • Soudoyer la femme de ménage (voir la société en charge du nettoyage) • Récupérer les disques durs des imprimantes Anecdote Une collectivité publie un important appel d’offre. Une société locale - s’y prenant trop tard - comprend qu’elle n’aura pas le temps de répondre. Avant la date de clôture, le PDG de la société s’est présenté à la Préfecture avec les grilles d’évaluation des réponses. L’appel d’offre a été annulé, lui laissant le temps de rédiger sa réponse… Conseils • 1 imprimante = 1 broyeur • Politique de bureau propre • Généraliser l’impression sécurisée (en plus c’est écologique !!)
  • 20. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 20 L’approche physique Généralités Dans l’hypothèse (improbable) ou la sécurité périmétrique de la cible est robuste, l’approche physique est toujours possible. Par exemple : • Rencontrer un interlocuteur dans l’entreprise, lui faire une présentation, puis lui tendre une clé USB pour qu’il récupère le PowerPoint, • Offrir un smartphone à son interlocuteur (mais oui c’est rentable !!), • Proposer une application pour smartphone, • Installer un keylogger sur la machine (voir diapositive suivante) Attention à l’effet domino Le piratage du smartphone permettra celui du poste de travail, donc celui des documents sur le réseau, de tout ou partie de la messagerie, etc.
  • 21. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 21 L’approche physique – cas concret Le keylogger (ou enregistreur de frappe) Equipement ou logiciel permettant d’enregistrer les touches frappées sur le clavier d’un ordinateur. Le keylogger se charge d’envoyer les informations collectées à son commanditaire (via mail, IM, ftp, etc. Si la version logicielle peut être détectée par un logiciel, la version matériel est quasi impossible à trouver (sauf en contrôle visuel) Les versions les plus sophistiquées (wifi) coutent … 40€ (lol) Une version pour l’écran est disponible. Elle fait une capture d’écran toutes les x secondes et les envoie au commanditaire (ou les garde en mémoire)
  • 23. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 23 L’authentification… c’est quoi ? Pour m’authentifier j’ai besoin : • D’un identifiant : matricule, adresse mail, « prénom.nom », etc. • D’un mot de passe: je dois le personnaliser et le changer régulièrement Un compte utilisateur est personnel. Je ne dois – sous aucun prétexte – le prêter - à un tiers (que ce soit un collègue, mon supérieur hiérarchique, le helpdesk, etc.). L’utilisation de mon compte utilisateur engage entièrement ma responsabilité (notamment juridique). Finalement, votre identité numérique repose grandement sur votre mot de passe… Au fait, est il robuste ?
  • 24. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 24 La robustesse d’un mot de passe Temps nécessaire pour casser un mot de passe à partir d’1 seul ordinateur Longueur Lettres minuscules + Majuscules + Chiffres + Caractères spéciaux 6 caractères 3 sec 15 sec 10 min 2 h 7 caractères 1 min 5 min 10 h 8 j 8 caractères 35 min 2 h 5 j 3 mois 9 caractères 4 h 12 h 1 mois 10 ans Calcul ne prenant en compte aucune optimisation (ex. utilisation d’un dictionnaire)… La puissance d’un ordinateur double tous les 18 mois… Dans 3 ans les temps nécessaires seront divisés par 4 !
  • 25. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 25 Comment choisir son mot de passe Astuce 1 - Prendre la 1ère lettre d’une phrase Ex. L’ISSA à Juan les Pins c’est la classe ! Donne : « L’IàJlPclc! » Astuce 2 – Faire une combinaison « géométrique » sur le clavier Astuce 3 – Changer les lettre d’un mot Ex. Isabelle Donne : « Is@b€lle» ou « 1s@belle », etc…
  • 26. Que faire en cas de piratage ?
  • 27. © 2002 Cap Gemini Ernst & Young - All rights reserved Page 27 Que faire en cas de piratage • Vous constatez une intrusion ou une tentative d’intrusion dans votre système d’information ? • Des données ont été modifiées, introduites ou supprimées ? • Quelqu’un tente d’entraver le bon fonctionnement de votre système d’information ? Préservez les preuves • Dans la mesure du possible n’éteignez pas la machine impactée. • Parfois il est même préférable de laisser la connexion réseau (pour mieux tracer l’origine de l’intrusion Déposez plainte Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) Dépend de la Direction centrale de la Police judiciaire. Tél. : 01 47 44 97 55
  • 28. 28 Avez-vous des questions ? Hervé MICHELLAND hmichelland@hotmail.com 06.77.99.44.90