SECURITE DES SYSTEMES D ’INFORMATION
PLAN Généralités sur la SSI Techniques d ’attaques Moyens juridiques et réglementaires
Chapitre 1 Généralités sur la SSI
Les typologies de menaces Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE
Les typologies de menaces Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun INTERNET Nombreux outils Internet
Les typologies de menaces Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands
Les typologies de menaces Menace TERRORISTE = terrorisme informatique La chaîne TV5Monde a été victime mercredi soir 8 avril 2015 d'une cyberattaque d'une ampleur inédite de la part de pirates se réclamant de l'Etat islamique. Tant la diffusion des programmes de l'antenne que les réseaux sociaux étaient passés sous le contrôle du CyberCaliphate. Le retour à la normale prend du temps et s'opère de manière progressive ce jeudi. Source bfmtv
Les typologies de menaces Menace ETATIQUE = guerre informatique « Information Warfare » Une attaque informatique contre le réseau électrique est la hantise des responsables de la sécurité. Et pour cause : sans électricité, la vie économique serait perturbé, voire paralysée. Des cyber-espions russes et chinois avaient réussi à infiltrer le réseau électrique américain pour y installer des programmes malveillants susceptibles de causer des perturbations. Source Opex360
Protéger, Collecter, Désinformer Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer
DISPONIBILITE Disponibilité de l’accès aux données et aux traitements => Attaques visibles Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation … => CA NE MARCHE PLUS 10
INTEGRITE Intégrité des données => Attaques non visibles Suppression Altération Désinformation Répudiation 11
CONFIDENTIALITE Confidentialité des données des services => Attaques visibles ou non Espionnage Divulgation Chantage 12
Typologie des menaces 13% incendie,explosion, dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Environnement 15% Menaces naturelles 26% Pannes système 11% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation Erreurs humaines 17% Menaces humaines 74% 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Malveillance 57%
Utilisation de l’Internet dans les entreprises 40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, 30 % des salariés admettent envoyer des E-Mails avec des informations confidentielles à l ’extérieur de leur société, 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, à des abonnements à des listes de diffusion obsolètes….
Position des agresseurs Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 %
La SSI : un domaine transversal Sensibilisation Formation Responsabilisation Réglementation Direction, Organisation Gestion du Personnel Juridique, contrats Surveillance, contrôle, gestion des anomalies S.S.I. Administration des réseaux et systèmes Sûreté de fonctionnement Disponibilité, fiabilité Intrusion physique, incendie, dégâts des eaux... Sécurité physique Technique Qualité Réseaux, informatique, Bureautique Fiabilité, ergonomie, maintenabilité
Chapitre 2 ATTAQUES Attaques physiques : accès physique ou se servant de caractéristiques physiques Attaques logiques
Attaques physiques Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) Brouillage (militaires / guerre) Ecoute (très utilisée) Micros et Caméras espion (de plus en plus courant)
Attaques Logiques Social engineering mi physique, mi logique Fouille de répertoires / fichiers les droits d'accès aux fichiers attaque sur les mots de passe Canal Caché (Back Door) Déni de service (saturation des accès réseau) Programmes parasites Virus, ver, cheval de Troie Exploitation malveillante des protocoles réseau
Social engineering manipuler une personne et lui faire révéler l’information qu’elle détient parfois en se faisant passer pour quelqu’un d’autre Informations recherchées : Mot de passe Informations de comptes bancaires Stratégie d’entreprise…
Fouille de répertoires / fichiers DROITS des Répertoires / FICHIERS UNIX : droits R W X Windows : fichiers partagés (lecture/écriture/ contrôle total) Fichiers sensibles non protégés !!!! Les comptes : recherche de Comptes peu ou pas utilisés
Attaques sur les mots de passe 4 possibilités : Dérober un MDP social engineering, vol ... Deviner un MDP nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille… Renifler un MDP le « prendre » sur le réseau en CLAIR Craquer un MDP logiciel de crackage
Les mots de passe les plus courants Nom d’un sportif Modèle de marque automobile Nom d’une vedette du show bizz Nom d’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom d'un animal de compagnie Nom d’une personne proche
Le piratage téléphonique - Phreaking Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : piratage d ’autocommutateurs d ’entreprise (PABX ou IPBX) Recherche automatique de modems connectés sur un réseau Permet d'entrer sur le réseau de l'entreprise en contournant les mesures de Protection (Firewall)
Porte dérobée - Backdoors Parfois créée par le concepteur du logiciel pour des besoins de maintenance Permet de contourner la SSI normale ! Souvent créée par un virus de type cheval de Troie
VIRUS Programme parasite s’adjoignant à un logiciel existant et activé à chaque fois qu'on utilise le logiciel infesté Infecte un logiciel : .exe, .vbs, ... ou un document : macros des .doc, .xls, … se propage très rapidement via la messagerie (pièces jointes) ou les clés USB divers types : furtifs, cryptés, polymorphes, …. Plus de 300 000 aujourd’hui !
Vers informatiques (Worms) Assez rares Se multiplient travers le réseau (sans nécessairement utiliser le stockage sur disque dur comme les virus) Saturation de l’espace mémoire Engorgement files d ’attentes Peut aussi générer les mêmes dégâts que les autres programmes parasites
Bombes logiques Code ajouté secrètement à un OS ou à un programme Si activé (date, lancement fichier, …) => fait exécuter une action prédéfinie = 100100011101
Cheval de Troie Programme apparemment utile : contient des fonctions cachées => MENACE SERIEUSE
Protocoles réseau : Scan de ports But : obtenir liste des services offerts par un serveur Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs Intérêt : exploiter une faille éventuelle, connue, d’un des services
Protocoles réseau : Man in the Middle B M « M » fait croire : - à « A » qu ’il est « B », - à « B » qu ’il est « A »
Enregistreurs de touches (Keyloggers) C’est un logiciel (peut être physique) Implantation discrète par un Cheval de Troie But : Envoyer à un pirate des logins et mots de passe ou toute autre information confidentielle
Scénario d’attaque Renseignement : architecture du réseau, plan d'adressage, systèmes d'exploitation utilisés etc... Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché ou porte dérobée (backdoor) Camouflage : effacer les traces, changer les dates dans les messages système... Propagation : rebond vers un autre ordinateur, implantation de virus...
Les moyens juridiques et réglementaires CHAPITRE 3 Les moyens juridiques et réglementaires
Art. 323-1 CP - soit une altération du fonctionnement de ce système Le fait, - d ’accéder - ou de se maintenir - frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d’emprisonnement et de 30 000 € d’amende.
Art. 323-2 le fonctionnement Est puni de 3 ans d’emprisonnement Le fait : - d’entraver - ou de fausser le fonctionnement d’un système de traitement automatisé de données Est puni de 3 ans d’emprisonnement et de 45 000 € d’amende.
Art. 323-3 - d’introduire frauduleusement des données Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu’il contient est puni de 3 ans d’emprisonnement et de 45 000 € d’amende.
Art. 323-4 La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues par les articles 323-1 à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. Art. 323-5 : peines complémentaires pour les personnes physiques.
Le vocabulaire juridique Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information Existence juridique sous forme de donnée
==> création de la CNIL La LOI 78-17 du 6 janvier 1978 ==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés informatique + fichiers libertés du citoyen
La LOI 78-17 du 6 janvier 1978 - ou d’une déclaration préalable. Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d’un acte réglementaire de la CNIL - ou d’une déclaration préalable.
La LOI 78-17 du 6 janvier 1978 Art 29 Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s’engage de ce fait , vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés
Sanctions pénales de la loi 78-17 « informatique et libertés » Art Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de 45 000 € d ’amende.
Quelques sites SSI sur le WEB SCSSI CLUSIF Computer Associates CNIL Schauer Consultant