SECURITE DES SYSTEMES D ’INFORMATION

PLAN Généralités sur la SSI Techniques d ’attaques Moyens juridiques et réglementaires

Chapitre 1 Généralités sur la SSI

Les typologies de menaces Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE

Les typologies de menaces Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun INTERNET Nombreux outils Internet

Les typologies de menaces Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands

Les typologies de menaces Menace TERRORISTE = terrorisme informatique La chaîne TV5Monde a été victime mercredi soir 8 avril 2015 d'une cyberattaque d'une ampleur inédite de la part de pirates se réclamant de l'Etat islamique. Tant la diffusion des programmes de l'antenne que les réseaux sociaux étaient passés sous le contrôle du CyberCaliphate. Le retour à la normale prend du temps et s'opère de manière progressive ce jeudi. Source bfmtv

Les typologies de menaces Menace ETATIQUE = guerre informatique « Information Warfare » Une attaque informatique contre le réseau électrique est la hantise des responsables de la sécurité. Et pour cause : sans électricité, la vie économique serait perturbé, voire paralysée. Des cyber-espions russes et chinois avaient réussi à infiltrer le réseau électrique américain pour y installer des programmes malveillants susceptibles de causer des perturbations. Source Opex360

Protéger, Collecter, Désinformer Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer

DISPONIBILITE Disponibilité de l’accès aux données et aux traitements => Attaques visibles Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation … => CA NE MARCHE PLUS 10

INTEGRITE Intégrité des données => Attaques non visibles Suppression Altération Désinformation Répudiation 11

CONFIDENTIALITE Confidentialité des données des services => Attaques visibles ou non Espionnage Divulgation Chantage 12

Typologie des menaces 13% incendie,explosion, dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Environnement 15% Menaces naturelles 26% Pannes système 11% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation Erreurs humaines 17% Menaces humaines 74% 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Malveillance 57%

Utilisation de l’Internet dans les entreprises 40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, 30 % des salariés admettent envoyer des E-Mails avec des informations confidentielles à l ’extérieur de leur société, 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, à des abonnements à des listes de diffusion obsolètes….

Position des agresseurs Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 %

La SSI : un domaine transversal Sensibilisation Formation Responsabilisation Réglementation Direction, Organisation Gestion du Personnel Juridique, contrats Surveillance, contrôle, gestion des anomalies S.S.I. Administration des réseaux et systèmes Sûreté de fonctionnement Disponibilité, fiabilité Intrusion physique, incendie, dégâts des eaux... Sécurité physique Technique Qualité Réseaux, informatique, Bureautique Fiabilité, ergonomie, maintenabilité

Chapitre 2 ATTAQUES Attaques physiques : accès physique ou se servant de caractéristiques physiques Attaques logiques

Attaques physiques Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) Brouillage (militaires / guerre) Ecoute (très utilisée) Micros et Caméras espion (de plus en plus courant)

Attaques Logiques Social engineering mi physique, mi logique Fouille de répertoires / fichiers les droits d'accès aux fichiers attaque sur les mots de passe Canal Caché (Back Door) Déni de service (saturation des accès réseau) Programmes parasites Virus, ver, cheval de Troie Exploitation malveillante des protocoles réseau

Social engineering manipuler une personne et lui faire révéler l’information qu’elle détient parfois en se faisant passer pour quelqu’un d’autre Informations recherchées : Mot de passe Informations de comptes bancaires Stratégie d’entreprise…

Fouille de répertoires / fichiers DROITS des Répertoires / FICHIERS UNIX : droits R W X Windows : fichiers partagés (lecture/écriture/ contrôle total) Fichiers sensibles non protégés !!!! Les comptes : recherche de Comptes peu ou pas utilisés

Attaques sur les mots de passe 4 possibilités : Dérober un MDP social engineering, vol ... Deviner un MDP nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille… Renifler un MDP le « prendre » sur le réseau en CLAIR Craquer un MDP logiciel de crackage

Les mots de passe les plus courants Nom d’un sportif Modèle de marque automobile Nom d’une vedette du show bizz Nom d’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom d'un animal de compagnie Nom d’une personne proche

Le piratage téléphonique - Phreaking Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : piratage d ’autocommutateurs d ’entreprise (PABX ou IPBX) Recherche automatique de modems connectés sur un réseau Permet d'entrer sur le réseau de l'entreprise en contournant les mesures de Protection (Firewall)

Porte dérobée - Backdoors Parfois créée par le concepteur du logiciel pour des besoins de maintenance Permet de contourner la SSI normale ! Souvent créée par un virus de type cheval de Troie

VIRUS Programme parasite s’adjoignant à un logiciel existant et activé à chaque fois qu'on utilise le logiciel infesté Infecte un logiciel : .exe, .vbs, ... ou un document : macros des .doc, .xls, … se propage très rapidement via la messagerie (pièces jointes) ou les clés USB divers types : furtifs, cryptés, polymorphes, …. Plus de 300 000 aujourd’hui !

Vers informatiques (Worms) Assez rares Se multiplient travers le réseau (sans nécessairement utiliser le stockage sur disque dur comme les virus) Saturation de l’espace mémoire Engorgement files d ’attentes Peut aussi générer les mêmes dégâts que les autres programmes parasites

Bombes logiques Code ajouté secrètement à un OS ou à un programme Si activé (date, lancement fichier, …) => fait exécuter une action prédéfinie = 100100011101

Cheval de Troie Programme apparemment utile : contient des fonctions cachées => MENACE SERIEUSE

Protocoles réseau : Scan de ports But : obtenir liste des services offerts par un serveur Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs Intérêt : exploiter une faille éventuelle, connue, d’un des services

Protocoles réseau : Man in the Middle B M « M » fait croire : - à « A » qu ’il est « B », - à « B » qu ’il est « A »

Enregistreurs de touches (Keyloggers) C’est un logiciel (peut être physique) Implantation discrète par un Cheval de Troie But : Envoyer à un pirate des logins et mots de passe ou toute autre information confidentielle

Scénario d’attaque Renseignement : architecture du réseau, plan d'adressage, systèmes d'exploitation utilisés etc... Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché ou porte dérobée (backdoor) Camouflage : effacer les traces, changer les dates dans les messages système... Propagation : rebond vers un autre ordinateur, implantation de virus...

Les moyens juridiques et réglementaires CHAPITRE 3 Les moyens juridiques et réglementaires

Art. 323-1 CP - soit une altération du fonctionnement de ce système Le fait, - d ’accéder - ou de se maintenir - frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d’emprisonnement et de 30 000 € d’amende.

Art. 323-2 le fonctionnement Est puni de 3 ans d’emprisonnement Le fait : - d’entraver - ou de fausser le fonctionnement d’un système de traitement automatisé de données Est puni de 3 ans d’emprisonnement et de 45 000 € d’amende.

Art. 323-3 - d’introduire frauduleusement des données Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu’il contient est puni de 3 ans d’emprisonnement et de 45 000 € d’amende.

Art. 323-4 La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues par les articles 323-1 à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. Art. 323-5 : peines complémentaires pour les personnes physiques.

Le vocabulaire juridique Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information Existence juridique sous forme de donnée

==> création de la CNIL La LOI 78-17 du 6 janvier 1978 ==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés informatique + fichiers libertés du citoyen

La LOI 78-17 du 6 janvier 1978 - ou d’une déclaration préalable. Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d’un acte réglementaire de la CNIL - ou d’une déclaration préalable.

La LOI 78-17 du 6 janvier 1978 Art 29 Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s’engage de ce fait , vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés

Sanctions pénales de la loi 78-17 « informatique et libertés » Art Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de 45 000 € d ’amende.

Quelques sites SSI sur le WEB SCSSI CLUSIF Computer Associates CNIL Schauer Consultant