Le document met en avant la gravité de la cybercriminalité et blâme les entreprises pour leur manque de sensibilisation et de préparation face aux menaces. Il décrit plusieurs domaines où les failles de sécurité sont critiques, ainsi que les formes d'attaques les plus courantes, notamment les ransomwares. L'auteur insiste sur l'importance d'une organisation adaptée et d'une réelle prise de conscience pour contrer efficacement la cybercriminalité.

1. Cybersécurité : vous avez des problèmes
de sécurité dans leTI, c’est de votre faute…
Par Claude Marson
Formateur en technologies de l’information

2. JE ME PRÉSENTE
CLAUDE MARSON

3. Le sujet traité est très sensible : faillites
d’entreprises, pertes financières, suicides…
Nous adopterons volontairement un ton libre…voire
provocateur!
Il ne faudra pas prendre nos propos au premier degré : c’est
un moyen de susciter des réactions… indignées.
Notre objectif est d’alerter les usagers sur l’urgence qu’il y a
de prendre la cybercriminalité au sérieux : cessons de croire
qu’elle se limite à quelques actions de « ransomware ».
C’est aussi le moment d’avoir un peu d’humour…
Avertissement

5. La sécurité est généralement mal abordée dans les entreprises.
Si vous avez des problèmes à cet égard, c’est de votre faute dans 95 % des cas!
5 domaines clés que nous allons détailler :
1. Il n’y a pas de prise de conscience claire du problème
2. La cybercriminalité est une sorte de « spectacle » dont la presse se fait l’écho
3. Les techniques de protection sont inadaptées
4. Les entreprises sont mal organisées face à la cybercriminalité
5. On ne met pas les bonnes personnes en face des cybercriminels
C’est de votre faute

6. SERVEURS CENTRAUX
 Pas de chiffrement des données sensibles
 Failles dans les couches de virtualisation
 Sauvegardes anarchiques et non contrôlées
 Mauvaise administration des patchs
 Applications mal écrites
 Failles OS et API
 Services inutiles installés par défaut
 Délégation de « comptes de circonstances »
 Pas de solutions de PCA/PRA
UnTI ouvert aux quatre vents…

7. DMZ
 Détections d’intrusions inadaptées (IDS)
 Pas d’analyse des logs (SIEM)
 Règles de filtrage aux pare-feux inadaptées
 Pourriels malicieux non bloqués
UnTI ouvert aux quatre vents…

8. RÉSEAU
 Déni de service réseau trop simple
 Protections insuffisantes contre mascarade
 Mauvaise gestion des mots de passe, pas de
provisionnement général
UnTI ouvert aux quatre vents…

9. POSTE DETRAVAIL
 Mise à jour non centralisée, avec logiciels
non contrôlés
 Pas d’écrans de veille et machines en
session laissées sans surveillance
 Droits administrateurs inutiles attribués
aux cadres
 « Buddy punching »
 Failles applicatives (JavaScript)
UnTI ouvert aux quatre vents…

10. UTILISATEURS
 Prise de conscience insuffisante (pas de
charte de sécurité)
 Pas de sauvegardes des données critiques
 Pas de chiffrement des données sensibles
UnTI ouvert aux quatre vents…

11. Les principales formes d’attaques

12. Pas de prise de conscience claire du problème
La sécurité informatique, c’est avant tout un problème technique.
Ignorer le danger n’exclut pas le danger. Ça n’arrive pas qu’aux autres.
Le temps n’est plus des pirates « au grand cœur », lesArsène Lupin modernes.
 L’écossais Gary McKinnon : pénètre 97 ordinateurs de la NASA, US Army, armée de
terre, le Pentagone, le ministère de la Défense… : il cherchait seulement à établir
l'existence de vaisseaux spatiaux d'origine extraterrestre!
 Les seules motivations en 2016, c’est l’argent et le terrorisme.
Gary McKinnon

13. Le CA mondial de la cybercriminalité, tout compris, avec les anti-malwares qui ne servent pas à
grand-chose, est supérieur à celui de la drogue : plus de 400 G$.
La cybercriminalité est une arme qui ne nécessite pas de gros investissements.
 Les écoles djihadistes forment des cybercriminels qui vont s’attaquer aux ressources sensibles des pays
dont ils combattent le mode de vie.
Les gouvernements se préoccupent plus de la protection des données personnelles que des vrais
problèmes de cybercriminalité.
 Les services chargés de protéger les ressources publiques sont le plus souvent dérisoires.
Dans la plupart des pays, le cadre juridique n’est plus adapté.
Pas de prise de conscience claire du problème
Gary McKinnon

14.  La cybercriminalité s’est organisée :
 Tarifs, prestations, prestataires
 100 000 délinquants qui constituent une
véritable économie
 Globalement, les usagers ont trop
confiance dans Internet et n’appliquent pas
les règles élémentaires de protection :
 10 % de la totalité des contenus Internet
sont jugés pollués et inutilisables
Pas de prise de conscience claire du problème

15. 1Pas de prise de conscience claire du problème
Les entreprises maintiennent des versions dépassées de navigateurs
 Ces versions nécessitent des greffons pour s’adapter aux besoins modernes… ce qui est des
plus dangereux!
Les internautes se croient en sécurité sur Facebook et les réseaux sociaux : erreur!
 Ce sera la cible n°1 des criminels qui ne peuvent pas ignorer 1,3 milliard d’usagers peu soucieux
de protection.
On se trompe souvent de cibles :
 Les vers et les virus représentent moins de 10 % des menaces
 Le vrai problème, ce sont les chevaux deTroie et les portes dérobées (backdoors) dans les
systèmes et applications

16. La cible des mobiles remplace celle des PC.
 On s’attend à ce qu’il y ait 100 000 nouveaux logiciels malveillants (malwares) par
jour (50 000 pour les PC au mieux de leur forme).
Les industriels n’ont pas conscience du problème (car ils n’y ont jamais été
confrontés). Ils ignorent que leurs structures sont fragiles.
 L’attaque Stuxnet sur les automates iraniens dans les centrales nucléaires, l’attaque
sur les centrales thermiques en Ukraine…
 C’est dans ce domaine qu’il faudra être le plus vigilant… si les plateformes
industrielles partagent les mêmes réseaux de transport que les autres départements.
Pas de prise de conscience claire du problème

17. Pas de prise de conscience claire du problème
La cyberguerre est déjà commencée et
les pessimistes pensent qu’elle est déjà
perdue.
 Rôle très ambigu joué par la Russie
et la Chine
 Ces 2 pays ont institutionnalisé des
structures affectées au
cyberespionnage… tout comme les
États-Unis, le Canada et l’Europe!!!

19.  Salons où sont invités les pirates : Hackfest…
 La presse qui relate avec «gourmandise» les exploits des cybercriminels
 Dans l’entreprise, sentiment diffus que le piratage informatique est une forme de
contestation, dont les employés sont inconsciemment complices : syndrome de la
grève qui pourrit la vie des usagers, mais «que l’on comprend…»
 La cybercriminalité s’est organisée, avec ses tarifs et ses prestataires
La cybercriminalité est un spectacle…
et un business!
La presse s’est extasiée devant les
exploits de ce parfait abruti qu’est
le jeune Sebastian Gruber, un
Autrichien de 15 ans, qui a
attaqué 259 entreprises en 3
mois, soit 3 par jour : défaçage,
divulgations de données, etc.

20. Le rançongiciel ou « ransomware »

22.  Ne jamais payer
 Faire de la prévention : sauvegardes, restaurations, contrôle des supports…
Le rançongiciel ou «ransomware»

23.  Charte de sécurité
 Inexistante ou trop touffue
 De 5 à 8 points fondamentaux à respecter
 La charte doit être présentée avec fermeté
et formalité (cérémonie…)
 Motivation du personnel
 Présenter les conséquences du non-respect
de la charte
 Prévoir des sanctions dissuasives
 Insouciance des usagers
 10 % des malwares sont véhiculés par des
clés USB
L’organisation n’est pas (plus) adaptée

24.  Les protocoles Internet n’ont pas été conçus pour supporter 3
milliards d’internautes et 600 millions de serveursWeb
 TCP, IP, DNS, SMTP, ICP, SSL… sont des incitations au crime
 Il est sans doute trop tard pour faire machine arrière
 Protections périmétriques insuffisantes ou inadaptées
 Applications remplies de failles
 Failles dans les OS et les API
 Boîte à outils insuffisante
 Folie du BYOD
Les techniques de protection sont
souvent inadaptées
LeTI est une passoire…
… et les protocoles
Internet, une plaisanterie
douteuse!

25. Les chevaux deTroie et les portes
dérobées (backdoors)
 Les programmes malveillants les plus répandus
 LesTrojware : chevaux deTroie qui ne peuvent pas se
démultiplier seuls
 Les portes dérobées, outils de dissimulation d’activités,
et tous les chevaux deTroie ont progressé de 119,7 % (ils
représentent 89,45 % du total)
 Ce sont des exécutables qui attendent d’être activés
par un évènement : une date, un anniversaire… qui les
déclenchera
 Très difficiles à détecter, car rien a priori ne les
distingue d’un autre exécutable.

26. Les chevaux deTroie et les portes
dérobées (backdoors)
 Les parades sont difficiles à mettre en œuvre, parmi
lesquelles, toutefois :
 l’analyse des signatures
 la recherche de séquences en code machine
 le calcul et contrôle des empreintes
 la cartographie des exécutables comparée à une carte déjà
enregistrée (whitelisting)
 l’analyse du comportement de la machine de l’utilisateur, en
espérant pouvoir anticiper sur les dégradations
 Les backdoors sont une vieille pratique, dont se sont
(toujours) servis les constructeurs et éditeurs : IBM,
Microsoft…

27. Dan Kaminsky
L’énorme faille DNS
 Dan Kaminsky dévoile à l’été 2008
une faille importante du protocole
DNS qui permet de contaminer le
cache des serveurs DNS.
 Le pirate peut ainsi, sous son
contrôle, rediriger une navigation
et des courriers vers des domaines
qu’il contrôle.
 À la fin 2008, sur les 12 millions de
serveurs DNS recensés, 44 %
n’avaient pas encore été corrigés :
c’était une incitation au crime…
 Le gouvernement américain a
lancé une étude pour la refonte du
protocole, ce qui se traduit par une
mise à jour très importante.

28. Les faiblesses du codage

29. Les dangers de l’hypervision

30. La mécanique d’une attaque APT
 Advanced : les techniques les plus sophistiquées sont utilisées
 Persistent : le but n’est pas le gain financier immédiat, il y a une cible et
un objectif bien précis
 Threat : les opérations structurées et coordonnées sont menées par des
pirates compétents
Le termeAPT (Advanced PersistentThreats) correspond à un enchaînement d’attaques par
des moyens divers, en vue d’effectuer une opération délictueuse

31. Le vol de données se propage sans que personne ne s’en émeuve vraiment…
En 2016, c’est par dizaines de millions que les données sont piratées : Home Depot,TJX, etc.
Le problème du vol de données
24 millions de comptes
piratés chez Zappos,
boutique en ligne de
chaussures et de vêtements,
filiale d’Amazon.
134 millions de cartes de crédit volées
chez Heartland, via une injection SQL qui
a permis d’installer un logiciel espion
(spyware) dans le système Heartland
ESTsoft : les informations
personnelles de 35 millions de
Sud-Coréens sont volées
grâce à une faille de sécurité
chez un important
distributeur de logiciels
58 millions de cartes
compromises chez
Home Depot
Le fichier national non chiffré du
«Department ofVeteranAffairs» est
volé (26 millions de personnes) : noms,
numéros de sécurité sociale, états de
service et nombreuses informations
confidentielles
Vol d’informations concernant
40 millions de personnes chez
RSA. La technique utilisée fait
encore débat. RSA affirme que
deux groupes distincts de
pirates sont intervenus par
hameçonnage, avec l’aide d’un
gouvernement étranger…
94 millions de cartes volées chezTJX du fait
de l’absence de pare-feu.AlbertGonzalez,
coupable présumé de l’attaque, est
condamné à 40 ans de prison.
Un pirate revendique le vol de
150 000 dossiers clientsAdobe
et a publié les informations
confidentielles de 230 de ces
clients.Yahoo serait le
prochain sur la liste.

32. Les botnets : l’asservissement de nos machines

33.  Ressources humaines absentes
 On fait de l’administration de la sécurité, mais pas
de prévention
 Il faut mettre en face des cybercriminels les
mêmes… mais honnêtes, si possible
 Il faut accepter que ces spécialistes de la sécurité
soient des marginaux vis-à-vis de l’entreprise
 Ils ne respectent pas les horaires : ils travaillent la
nuit ou quand ça leur chante…
 Ils connaissent les forums des pirates, là où
l’information est diffusée
 Ils fréquentent les communautés criminelles,
comme une « taupe », et s’informent
Profil inadéquat du personnel