SECURITE DES SYSTEMES D ’INFORMATION

PLAN Généralités sur la SSI Techniques d ’attaques Moyens juridiques et réglementaires Politique de sécurité des systèmes d ’information Les solutions techniques

Chapitre 1 Généralités sur la SSI

Les typologies de menaces Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE

Les typologies de menaces Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun, côté potache INTERNET Tous les outils sont sur l’Internet : sites « warez »

Les typologies de menaces Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands

Les typologies de menaces Menace TERRORISTE = terrorisme informatique

Les typologies de menaces Menace ETATIQUE = guerre informatique « Information Warfare »

Protéger, Collecter, Désinformer Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer

DISPONIBILITE Disponibilité de l’accès aux données et aux traitements => Attaques visibles Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation … => CA NE MARCHE PLUS

INTEGRITE Intégrité des données => Attaques non visibles Suppression Altération Désinformation Répudiation

CONFIDENTIALITE Confidentialité des données des services => Attaques visibles ou non Espionnage Divulgation Chantage

Typologie des menaces Menaces naturelles 26% Menaces humaines 74% 13% incendie,explosion, dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Environnement 15% Menaces naturelles 26% Pannes système 11% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation Erreurs humaines 17% Menaces humaines 74% 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Malveillance 57%

Utilisation de l’Internet dans les entreprises 40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, 30 % des salariés admettent envoyer des E-Mails avec des informations confidentielles à l ’extérieur de leur société, 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, à des abonnements à des listes de diffusion obsolètes….

Position des agresseurs Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 %

La SSI : un domaine transversal Direction, Organisation Juridique, contrats Personnel Sensibilisation Formation Réglementation Responsabilisation Administration de réseaux et systèmes R.S.S.I. Sûreté de fonctionnement Disponibilité, fiabilité Surveillance, contrôle gestion d ’anomalies Qualité Sécurité physique Technique Intrusion physique, incendie,dégâts des eaux... Fiabilité, ergonomie, maintenabilité Réseaux, informatique, bureautique

Chapitre 2 ATTAQUES Attaques physiques : Attaques logiques accès physique ou se servant de caractéristiques physiques Attaques logiques

Attaques physiques Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) Brouillage (militaires / guerre) Ecoute (très utilisée) Piégeage Micros et Caméras espion (de plus en plus courant)

Attaques Logiques Social engineering (mi physique, mi logique) Fouille de l ’ensemble répertoires / fichiers les droits attaque sur les mots de passe Canal Caché (Back Door) Déni de service Programmes parasites (Virus, ver, cheval de Troie)

Social engineering manipuler une personne à son insu lui faire révéler l’information qu ’elle détient en se faisant passer pour quelqu’un d ’autre ex : Mot de passe Informations de comptes bancaires Stratégie d’entreprise…

Fouille de l ’ensemble répertoires / fichiers les DROITS des Rep / FIC (UNIX : R W X) fichiers sensibles non protégés !!!! Les comptes : recherche de Comptes peu ou pas utilisés

Attaques sur les mots de passe 4 possibilités : Dérober un MDP (social engineering, vol, ...) Deviner un MDP (nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille…) Renifler un MDP : le « prendre » en transit en CLAIR Craquer un MDP (logiciel de crackage)

Les mots de passe les + courants Nom d ’un sportif Modèle de marque automobile Nom d ’une vedette du show bizz Nom d ’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom animal de compagnie Nom d ’une personne proche

Le piratage téléphonique - Phreaking Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : piratage d ’autocommutateurs d ’entreprise (PABX ou PBX) fréquemment utilisé en France Recherche automatique de modems connectés sur un réseau ==> Permet de se retrouver derrière les mesures de Protection (Firewall)

Canal Caché - Backdoors créé par le concepteur du logiciel ou celui de la maintenance Permet de contourner la SSI normale ! Backdoors US dans logiciel de crypto ?

VIRUS Plus de 300 000 aujourd’hui ! Programme parasite : faculté de se recopier par ses propres moyens Infecte un .exe ou un document (.doc, .xls, ...) ==> se propage très rapidement encore plus avec Messagerie (Internet, Intranet) : pièces jointes divers types : furtifs, cryptés, polymorphes, …. Plus de 300 000 aujourd’hui !

Vers Assez rares Se multiplient sur le disque dur MAIS se déplacent à travers le réseau Saturation de l’espace mémoire Engorgement files d ’attentes Peut aussi générer même dégâts que les autres programmes parasites

Bombes logiques Code ajouté secrètement à un OS ou à un programme Si activée (date, lancement fichier, …) => fait exécuter un événement prédéfini = 100100011101

Cheval de Troie Programme apparemment utile : contient des fonctions cachées => MENACE SERIEUSE inoffensif Date SI

Attaques Logiques Cryptanalyse Attaques Réseau (faille protocole TCP/IP) : Scan de ports IP Spamming IP Sniffing IP Spoofing Source Routing Fragmentation Man in the Middle Enregistreur de touches

Attaques Logiques Scan de ports But : obtenir liste des services offerts par un serveur Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs Intérêt : exploiter une faille éventuelle d’un des services

IP Spamming Inonder de messages un serveur (ou plus rarement une station) : indisponibilité de service : « deni de service » Ennemi FW internet intérieur « Destroy »

IP Sniffing Un intrus écoute le trafic sur le réseau L ’intrus utilise un analyseur trames TRAFIC

IP Spoofing « Tuer » une station Usurpation de son adresse MAC (cache ARP) Redirection des paquets vers l ’intrus MAC 2 3 1 CIBLE MAC

Source Routing Routage par la source : Force le routeur à envoyer la réponse vers l ’@ Source contenue dans le paquet Attention : même si cela ne correspond pas à ses tables de routage : usurpation d’identité B A - Requête de B se faisant passer pour A - Renvoi vers B (serveur croit qu ’il s ’agit de A) Serveur

MISE HORS SERVICE DU SERVEUR Fragmentation Paquets IP trop gros : fragmentation Seul le 1er paquet a un en-tête TCP complet (et des données concernant les paquets suivants) => MISE HORS SERVICE DU SERVEUR

Man in the Middle B M A « M » fait croire : - à « A » qu ’il est « B », - à « B » qu ’il est « A »

Enregistreurs de touches (Keyloggers) C ’est un logiciel (peut être physique) Implantation discrète par Cheval de Troie ex : Voir en CLAIR les logins et mots de passe

Scénario d ’attaque Renseignement : architecture, plan @, OS, … Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché, porte dérobée Camouflage : effacer les traces, changer les dates Propagation : rebond, virus...

CHAPITRE 3 Les moyens juridiques et réglementaires - Art 323-1 à 323-5 CP - Loi 78-17 du 6 janvier 1978 - Art 226-16 à 226-24 CP - Loi 85-860 du 3 juillet 1985 - IGI 900 et 901

La riposte juridique Art. 323-1 CP Le fait, - d ’accéder - ou de se maintenir - frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d ’un an d ’emprisonnement et de 15 000 € d ’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d ’emprisonnement et de 30 000 € d ’amende.

La riposte juridique Art. 323-2 Le fait : - d’entraver - ou de fausser le fonctionnement d ’un système de traitement automatisé de données Est puni de 3 ans d ’emprisonnement et de 45 000 € d ’amende.

La riposte juridique Art. 323-3 Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu ’il contient est puni de 3 ans d ’emprisonnement et de 45 000 € d ’amende.

La riposte juridique Art. 323-4 La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d ’une ou de plusieurs infractions prévues par les articles 323-1 à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l ’infraction la plus sévèrement réprimée. Art. 323-5 : peines complémentaires pour les personnes physiques.

La riposte juridique information / donnée Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information = Existence juridique sous forme de donnée

La LOI 78-17 du 6 janvier 1978 ==> création de la CNIL ==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés informatique + fichiers libertés du citoyen

Formalités préalables La LOI 78-17 du 6 janvier 1978 Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d ’un acte réglementaire de la CNIL - ou d ’une déclaration préalable. Formalités préalables à la mise en œuvre des traitements automatisés d ’informations nominatives  

La LOI 78-17 du 6 janvier 1978 Art 29 : Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s ’engage de ce fait , vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés

SANS qu ’aient été respectées les formalités préalables Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-16 Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de 45 000 € d ’amende. «  Pas ma faute » =

procéder à un traitement automatisé d’informations nominatives Sanctions pénales de la loi 78-17 « informatique et libertés » Art 226-17 Le fait de procéder à un traitement automatisé d’informations nominatives SANS prendre toutes précautions utiles pour préserver la sécurité de ces informations - déformées - endommagées et notamment d’empêcher qu’elles ne soient : - ou communiquées à des tiers non autorisés Est puni de 5 ans d’emprisonnement et de 300 000 € d’amende.

pour raisons légitimes : Sanctions pénales de la loi 78-17 « informatique et libertés » Art 226-18 Art. 226-18 : Traitement alors que opposition de la personne pour raisons légitimes : 5 ans et 300 000 €

Sanctions pénales de la loi 78-17 « informatique et libertés » Art Art. 226-19 : Le fait, hors les cas prévus par la loi, de mettre ou de conserver sans l ’accord exprès de l ’intéressé qui directement ou indirectement font apparaître : - les origines raciales - ou les opinions politiques - philosophiques - ou religieuses - ou les appartenances syndicales - ou les mœurs des personnes ==> 5 ans et 300 000 €

Sanctions pénales de la loi 78-17 « informatique et libertés » Art Conservation au delà de la durée prévue - dans la demande d’avis - ou déclaration préalable : ==> 3 ans et 45 000 € ==

Détournement des traitements Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-21 Détournement des traitements Par où ? T.A.I. par rapport à la déclaration : => 5 ans et 300 000 €.

Si la divulgation provient d’une imprudence ou négligence : Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-22 Divulgation, SANS autorisation de l’intéressé à des tiers qui n’ont pas qualité pour la recevoir ==> 1 an et 15 000 € Si la divulgation provient d’une imprudence ou négligence : 7 500 € !

Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-24 : peines pour des personnes morales

Loi 85-860 du 3 juillet 1985 Droits d’auteurs 1/2 Complémente la loi de 1957 sur droits d ’auteurs logiciel : protégé --- attention : ne concerne pas les données Bénéficiaire de la protection : - l’employeur - si commande logiciel : selon le contrat

Loi 85-860 du 3 juillet 1985 Droits d’auteurs 2/2 Contenu de la PROTECTION : - monopole de l’exploitation durant 25 ans TOUTE reproduction NON autorisée : INTERDIT TOUTE utilisation NON autorisée : INTERDIT == CONTREFACON PROBLEME : la preuve ……..

IGI 900 et 901 Textes de base pour : info de Défense (DR, CD, SD) : 900 info sensibles (Judiciaire, personnel,…) : 901 Autorités qualifiées, organisation SSI, homologations, ….. ==> A MEDITER

CHAPITRE 4: POLITIQUE DE SECURITE entité organisation entité zone entité personnel entité matériel entité logiciel entité support entités prioritaires

ENTITE « ORGANISATION » Responsabilités : Qui ? Comment ? Quoi ? Procédures : Définition, application, contrôle Engagement de Responsabilités : les « chefs » les techniciens les utilisateurs

ENTITE « PERSONNEL » Sensibilisation : Habilitation / Droits Formation Chefs en PRIORITE Techniciens Utilisateurs Formation

ENTITE « ZONE » Contrôle d ’accès Dispositif physique : anti-intrusion Maintenance / Entretien (ménage ! ) Environnement : clim., feu, sprinkler, ….

ENTITE « MATERIEL » Gestion de parc Protection : vol ….. Homologation Maintenance : données CD ou « Confidentielle Spécifique » sur micro à envoyer en réparation !!!!

ENTITE « LOGICIEL » Objectifs de sécurité Sauvegarde / Archivage Identification / Authentification (simple, forte, biométrique) Contrôle d ’accès logique Imputabilité (ne pas pouvoir dire que l’on n’a pas reçu!) Audit Développement : SSI : Prise en compte dès le début ! Objectifs de sécurité Exploitation (Version ?……) Maintenance / télémaintenance !!!!! Sauvegarde / Archivage

ENTITE « SUPPORT » Destruction (s ’en assurer !) Reproduction Enregistrement / Inventaire / Marquage (CD) CD : information sur disquette uniquement ! Pas de sauvegardes sur micros ! Destruction (s ’en assurer !) Reproduction Conservation

ENTITE PRIORITAIRES Sécurité physique Comptes MDP MAJ anti-virus (version ; bases de signatures) Pas de bidouille sur système !!!

Chapitre 5 : LES SOLUTIONS TECHNIQUES Chiffrement Authentification Contrôle d ’accès VPN Anti-virus

Le Chiffrement Chiffrement à clés secrètes (symétriques) Chiffrement à clés publiques (asymétriques) Chiffrement mixte : avec signature

Chiffrement à clé secrètes (symétriques) M + Ks ----> M ’ : message chiffré M ’ : à travers le réseau M ’ + Ks ----> M Difficulté : distribution + gestion des clés M ’ M+Ks M ’+Ks

Chiffrement à clés publiques (asymétriques) Albert veut envoyer un message à Bernard Albert : Kp(A) et Ks(A) Bernard : Kp(B) et Ks(B) M + Kp(B) ----> M ’ M ’+ Ks(B) ----> M Pb : est-on sûr que c ’est A qui envoie ?

Gestion des clés IGC : Infrastructure de Gestion de Clés PKI : Public Infrastructure Key ==> Clés publiques Organisme Défense et Interministériel

Authentification Authentification par : ce que l’on sait (mot de passe) ce que l’on détient (carte à puce, calculette) ce que l’on est (caractéristiques biométriques) MDP générés par l ’utilisateur Mécanismes d ’authentification forte : techniques biométriques MDP à usage unique Technique de défi/réponse Par tierces parties de confiance

BONS MOTS DE PASSE Longueur suffisante 8 caractères minimum Contient lettres (MAJ. / min), caractères spéciaux, chiffres : ex: C3!ù?amp => DUR ! Facile à mémoriser (ex : 1er caractères des mots d ’une phrase) Ne peut être deviné trop facilement (nom, prénom, …) N’est pas contenu dans un dictionnaire Est changé fréquemment (3 à 6 mois maxi)

Contrôle d ’accès Permet d’autoriser ou d’interdire à des utilisateurs d’un système : de voir le contenu de répertoires de lire, copier des fichiers de modifier des fichiers (écrire, supprimer) d’exécuter des programmes dépend de l ’OS pas de contrôle d’accès sur Windows 3.11, 95 et 98 UNIX et WNT : droits définis R, W, X.

Contrôle d ’accès Protection par firewall : Bonne protection contrôle du trafic (filtrage de paquet) filtrage applicatif (FTP, HTTP, …) entrée/sortie filtrage des ports entrée/sortie Bonne protection MAIS nécessite d ’être « suivi » de près => moyen HUMAIN

Contrôle d’accès FIREWALL : en coupure entre l ’extérieur et l ’intérieur : Intérieur Extérieur Firewall

Contrôle d ’accès Qu’est-ce qu’un paquet IP ? IP Data 1/ Protocole d ’application (SMTP, HTTP,Telnet, FTP, …) 2/ Protocole de transport (TCP/UDP, ICMP) Data Tcp/Udp 3/ Protocole IP IP Tcp/Udp Data 4/ Protocole physique Ethernet, FDDI, ATM, …. Ethernet IP Tcp/Udp Data Fanion

Contrôle d’accès : Firewall Attention : FW pas la panacée ! Vérification régulière des logs + chgt de MDP Pas de compte utilisateur sur FW Mais : possibilité sur INTERNET : récupération d ’infos pour passer à travers : Crack,…. ATTENTION…….A …………………. UNE FAUSSE SECURITE

VPN (Virtual Private Network) Site Site Site Intranet/Internet Site Site Site Site Confidentialité, intégrité et authentification : transmission par Intranet / Internet

Anti-virus Nécessité d’avoir un anti-virus : serveurs + stations EXCEL + WORD : les pièces jointes !!!! => nécessité de MAJ récentes => passage OBLIGATOIRE par un SAS pour les doc. venant de l’Internet ...

Accès distant téléphonique CALL BACK 1/2 Station 1 - RTC Serveur 2 - RTC 1 : la station appelle le serveur via RTC avec login + mdp + code 2 : le serveur rappelle coupe la COM. Si OK : le serveur rappelle la station. => Bonne sécurité

Accès distant téléphonique CALL BACK 2/2 Serveur informatique Station RTC routeur Serveur dédié Mieux vaut passer par un routeur Journaliser les accès

TCP / UDP TCP : mode connecté : 99,9 % paquets arrivent à destination UDP : mode non connecté : non assurance d ’arrivée à destination

Rappel sur OSI + équipements 4 Routeur TCP UDP NCP Ports TCP Filtrage 3 IP IPX Netbios @ IP filtrage VLAN IP 2 Ethernet FDDI Token Ring Hub @ MAC sécurité Pont 1 Switch 10 base 5 10 baseT 100 baseT répéteur

Firewall /Routeur Routeur : Firewall niveau 1 à 4 filtrage entre machines Firewall niveaux 3 à 7 filtrage fin sens des appels gestion des individus administration évoluée programmabilité stockage

Firewall / Routeur Actions de Filtrage : Routeur : acceptation, refus, rejet, routage forcé, traçage, alarme, priorité, partage de ressources, tunnel, conversion statique Firewall : conversion dynamique d ’@ Critères de filtrage : Routeur : ports, protocole niv 3, @ source et destination, protocole niv 4, port TCP Firewall : appels entrants et sortants, allocation dynamique de ports TCP, commandes

Firewall / Routeur Tunnel : Routeur : encapsulation IP/IP, masquage d ’@ IP Firewall : authentification, chiffrement, scellement Surveillance Routeur : alarme, trace limitée en mémoire FW: journal sur disques, alarmes distantes, statistiques, rapports, outils d ’analyse, détection d ’anomalies, antivirus Ergonomie : Routeur : telnet, FTP, SNMP FW : X11, Windows, Web

Gestion des usagers : Firewall / Routeur Routeur : / FW : identification, authentification, carte à puce, calculette S/Key, socks, gestion des droits et horaires, sillage UDP, sillage TCP liste serveurs autorisés / interdits / réservés

==> ROUTEUR : Firewall / Routeur dégrossissage par filtrage primaire Int FW Routeur Ext

Exemple : filtrage fin de FTP EXT EXT FIREWALL INT Appels : sortant Clients FTP : Tous internes Serveurs FTP : Tous externes Commandes : lecture, listage Sens autorisé des données Serveur ALPHA Client Bêta Appels : entrant Clients FTP : client Bêta Serveurs FTP : serveur Alpha Commandes : listage, création, écriture

Structure interne d ’un firewall administration OS : UNIX NT FTP 20,21 Web HTTP 80 Mail SMTP 25 News NNTP 114, 119 Telnet23 Autre Filtrage fin de paquets UDP / TCP IP Ethernet / Token Ring

Les critères de sécurité 1/3 Les certifications US –TCSEC Trusted Computer Systems Evaluation Criteria 1983 Orange Book pour les OS D : sécurité insuffisante C1 : politique discrétionnaire C2 : idem B1 : politique obligatoire B2 : idem B3 : idem A : preuve formelle de sécurité

Les critères de sécurité 2/3 Critères européens ITSEC Information Technology Security Evaluation 4 pays : France, Allemagne, GB, Pays-bas vise une architecture et non un produit séparation des fonctionnalités et du niveau d’assurance E0 : sécurité insuffisante E1 : politique discrétionnaire E2 : idem E3 : politique obligatoire E4 : idem E5 : idem E6 : preuve formelle de sécurité FC 0 : pas d ’assurance FC1 : assurance … FC6 : complète assurance

Les critères de sécurité 3/3 Les critères communs TCSEC + ITSEC ==> CC (Critères Communs) Normalisation internationale : ISO 15408

Quelques sites SSI sur le WEB SCSSI CLUSIF Computer Associates CNIL Schauer Consultant

Cryptographie : la législation

Le certificat serveur : le protocole SSL Les services offerts par SSL 3.0 authentification du serveur auprès du client authentification du client auprès du serveur (optionnel) confidentialité assurée par chiffrement à clé secrète intégrité des données L’algorithme de chiffrement est négocié par le client et le serveur SSL est basé sur la technologie à clé publique et les certificats l’utilisation des certificats est transparente les navigateurs contiennent déjà les certificats des principales CA publiques

Où est stockée la clé privée ? Stockée sur un jeton « logiciel » ou « physique » Jeton « logiciel » sur disque dur sur disquette Jeton physique = support physique séparé carte à puce L’accès est protégé par un mot de passe ou un PIN Personal Identification Number

Les avantages de la cartes à puce Haut niveau de sécurité Portabilité Pas de copie possible Authentification très forte (ce que l’on a : la carte et ce que l’on sait : le PIN) La carte peut supporter d’autres applications (badge entreprise)

A Bientôt et bon courage ! Ensemble, Améliorons la SSI A Bientôt et bon courage !