Préparé et présenté par: SAOUDI Lalia 2013-2014 Université de M'sila Faculté des Mathématiques et de l’Informatique Département d’informatique Spécialité: Master Réseaux Vulnérabilité Informatique Préparé et présenté par: SAOUDI Lalia 2013-2014

Vulnérabilité Informatique •Notion de vulnérabilité –Définition –Ou en trouver ? –Types 2018/9/20 2

NOTION DE VULNERABILITE Définition •En sécurité informatique, une vulnérabilité ou faille est une faiblesse dans le système informatique, permettant à un attaquant de porter atteinte à la confidentialité, l’intégrité et la disponibilité des données ou ressources informatiques. 2018/9/20 3

NOTION DE VULNERABILITE Vulnérabilité 2018/9/20 4

Où trouve t’on des vulnérabilités ? –Système d’exploitation –Applications web –Base de données –Applications métier –Logiciels et progiciels –Systèmes embarqués (avions, voitures …) –Réseaux … 2018/9/20 5

Types de vulnérabilité Vulnérabilités coté serveur : généralement dans des logiciels serveurs –Service RDP de Windows –Service FTP –Firmeware d’ équipements réseaux … •Vulnérabilités coté client : généralement dans les logiciels exécutés sur les postes clients –Navigateur web –Lecteur multimédia –Editeur fichiers pdf … 2018/9/20 6

–Auteur de vulnérabilité –Méthodes –…après une découverte PARTIE A : DECOUVERTE –Auteur de vulnérabilité –Méthodes –…après une découverte –Référencement des vulnérabilités 2018/9/20 7

DECOUVERTE :Auteur de vulnérabilités Très souvent des chercheurs en vulnérabilités –Professionnels •Equipe de grandes entreprises de sécurité informatique –Symantec, Kaspersky, ISS, Rapid7 … •Cyber armée •Agences de renseignements – 2018/9/20 8

DECOUVERTE :Auteur de vulnérabilités Indépendants •Domaine de recherche au même titre que les autres •Source de revenus financiers •Exemple –Google chrome cracké pour 60.000 $ –<< Les hackers ont trouvé une nouvelle façon, totalement légale, de gagner beaucoup d'argent aujourd'hui. Lorsqu'ils trouvent une faille dans un navigateur, au lieu de prévenir l'éditeur du logiciel, ils vendent la vulnérabilité aux services d'intelligence de plusieurs pays. >> source : magazine l’informaticien par Orianne Vatin, le 22 mars 2012 12:23 •Entreprise d’ édition de logiciels 2018/9/20 9

DECOUVERTE: Méthodes •Ingénierie inverse –activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou la méthode de fabrication. •Stress test –Le fuzzing est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en crashant ou en générant une erreur), alors il y a des défauts à corriger. •Audit de code –Obtention direct du code –Obtention du code par un décompilation –A cette étape se servir d’outils spécialisés de recherche spécifique 2018/9/20 10

DECOUVERTE …après une découverte ? •Informer l’ éditeur du logiciel •Informer la structure responsable de la ressource •Informer le CERT local •Assister à la correction •Attendre l’avis ou bulletin de sécurité à émettre par l’ éditeur ainsi que le correctif si possible •Attendre les remerciements ou la manne financière 2018/9/20 11

DECOUVERTE après une découverte ? Publication sans correctif •Publication sans informer le propriétaire de la ressource •Publication d’un exploit –Programme permettant d’exploiter une vulnérabilité (choux gras des script kiddies) –Exploitation par des vers et malwares •Ex : Sasser, Nimda, Stuxnet … 2018/9/20 12

DECOUVERTE …après une découverte ? DECOUVERTE …Référencement des vulnérabilités 2018/9/20 13

DECOUVERTE …Référencement des vulnérabilités 2018/9/20 14

DECOUVERTE …Référencement des vulnérabilités 2018/9/20 15

EVOLUTION •PARTIE B : EXPLOITATION –Notion d’exploit –Exemple d’exploit –Utile à … ! 2018/9/20 16

EXPLOITATION Notion d’exploit Un exploit est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance (remote exploit) ou sur la machine sur laquelle cet exploit est exécuté (local exploit), ceci, afin de prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque. 2018/9/20 17

EXPLOITATION Utile à … ! Conception de vers Test de pénétration Services de renseignements d’Etats Personnes mal intentionnées (cracker) Bien d ‘autres encore … 2018/9/20 18

PARTIE C : SOLUTIONS –Veille –Conception sécurisée 19 2018/9/20 EXPLOITATION Utile à … ! PARTIE C : SOLUTIONS –Veille –Conception sécurisée 2018/9/20 19

SOLUTIONS Faire de la veille –Se tenir informer des dernières vulnérabilités •Ex : souscription maling list www.cicert.ci http://www.certa.ssi.gouv.fr/ Concevoir des systèmes et architectures permettant de limiter la portée des vulnérabilités nouvellement découvertes 2018/9/20 20

Exemple: Les vulnérabilités web Failles de plus en plus populaires avec l'essor d'internet - La plupart des sites sont développés Trop vite - Par des personnes peu expérimentées En résulte de nombreuses failles - Désormais exploitées a grande échelle et de manière automatique - cf. les réseaux de type Botnet Exploitations dangereuses - Vol d'information - Le site attaque peut servir a envoyer des malwares aux visiteurs 2018/9/20 21

Injection SQL Beaucoup d'applications web (ASP,PHP,J2EE) s'appuient sur des bases de données Les requêtes SQL utilisent des informations saisies par les utilisateurs Les informations doivent être traitées avant utilisation Si ce n'est pas le cas, possibilité pour l'attaquant de soumettre des requêtes SQL malicieuses 2018/9/20 22

Injection SQL 2018/9/20 23

Injection SQL L'attaquant rentre : Login : Admin Password : ' or 'a'='a Requête SQL effectuée par l'application : SELECT id FROM users WHERE login='Admin' AND password='' or 'a'='a' L'attaquant obtient le compte Admin ! 2018/9/20 24

Conséquences Il est possible de faire bien pire Exécution d'une requête SQL arbitraire Lecture de toute la base de données (notamment les mots de passe) Modification de la base de données Les injection SQL étaient très courantes vers 2000-2004 Les forums PHP Les formulaire d'auhtentification des "petits" sites Les livres d'or, les blogs, etc. 2018/9/20 25

Contre-mesures Formation Revue de code Audit Toujours vérifier les entrées utilisateurs Exemple : mysql_escape_string() en PHP 2018/9/20 26

Exemple2:Les cookies 2018/9/20 27

Comment est récupéré le cookie ? Le client a consulte un site pirate qui le lui a "volé" (souvent via du javascript malicieux) Le client a reçu un mail contenant un lien vers un site pirate Le serveur consulté a été pirate et contient un lien vers le site pirate Un code malveillant pointant vers le site pirate a été inséré dans les données du site (exemple : post de forum) etc. 2018/9/20 28

Conséquences L'attaquant a accès a la session de la victime Perte de confidentialité : Webmail, forum, etc. Intégrité : Modification des comptes web Site de banque en ligne, jeux en ligne, etc. 2018/9/20 29

Risque et contre-mesures Les risques sont cette fois-ci pour le client Eviter de surfer sur des sites illégaux Ne pas cliquer sur les liens de mails étranges Mais cela n'implique pas que le serveur n'est pas fautif Ne pas autoriser le javascript dans les entrées utilisateurs (forum, commentaires de blog) Valider les entrées utilisateur 2018/9/20 30

Upload de fichiers Certains sites proposent d'uploader des fichiers de données Ces fichiers sont directement accessibles depuis internet Souvent, des règles de sécurité sont appliquées sur le nom du fichier uploade Pas de .exe, de .dll, etc Pas de .php, .asp ou de .jsp/.do Lorsque ces règles sont appliquées "a la main", des failles sont parfois présentes 2018/9/20 31

Upload de toto.txt.php sur monsite.com/upload Upload de fichiers Upload de toto.txt.php sur monsite.com/upload Passe les règles de filtrage car la première extension est .txt L'attaquant accède a www.monsite.com/toto.txt.php Le script php est exécuté sur le serveur ! Installation d'une backdoor Création de comptes etc. 2018/9/20 32