SÉCURITÉ DES RESEAUX CYBERCRIMINALITE FORMATION A LA SECURITE DES SYSTEMES D'INFORMATION SÉCURITÉ DES RESEAUX CYBERCRIMINALITE

INFORMATION GENERALE OCLC : Office Central de Lutte contre la Cybercriminalité. ANSSI : Agence Nationale pour la Sécurité des Systèmes d’Information (anciennement DCSSI et SCSSI) CERTA : Centre d’Expertise gouvernementale de Réponse et de Traitement des Attaques informatiques

SECURITE DES RESEAUX Notion de Zoning LE ZONING (applicable à tous les objets inclus dans l’architecture réseau réseau) - VERTE c’est une zone de service d’accueil et/ou d’infrastructure - l’authentification est exigée et propagée en zone verte - pas de données ni programmes métiers - progiciel de contrôle d’accès généralisé actif (RACF, TOP SECRET, …) - ORANGE c’est une zone sécurisée qui comprend au minimum : - Filtrage IP pour stopper l’accès aux systèmes non autorisés - détection intrusion (IDS) - ROUGE c’est une zone de données et programmes métiers (production, infocentre, développements) - aucun accès IP - tout accès à la zone rouge vers la verte passe par l’orange - toutes les ressources sont protégés par le progiciel généralisé de contrôle d’accès

SECURITE DES RESEAUX Une attaque réseau : n’importe quelle action qui compromet la sécurité du SI et de ses architectures. Services de sécurité : il augmente la sécurité des traitements et des échanges de données en utilisant un ou plusieurs mécanismes de sécurité (DICP) Mécanismes de sécurité : il est conçu pour détecter, prévenir et lutter contre une attaque de sécurité

MASCARADE : attaque active apparaît comme venant de A SECURITE DES RESEAUX MASCARADE : attaque active C Le message reçu par B apparaît comme venant de A A B B Internet

Capture du message de A vers B plus tard rejoue du message vers B SECURITE DES RESEAUX REJEU : attaque active C Capture du message de A vers B plus tard rejoue du message vers B B A Internet

MODIFICATION : attaque active Modification des messages de A vers B SECURITE DES RESEAUX MODIFICATION : attaque active C Modification des messages de A vers B B A Internet

DENI DE SERVICE : attaque active Indisponibilité du service SECURITE DES RESEAUX DENI DE SERVICE : attaque active C Indisponibilité du service fournit par le serveur A Internet serveur

CAPTURE + ANALYSE DE TRAFIC : attaque passive SECURITE DES RESEAUX CAPTURE + ANALYSE DE TRAFIC : attaque passive C Lecture du message venant de A + Observation du volume de message B A Internet

SERVICES DE SECURITE Contrôle d’accès : Contrôle les droits d’accès d’un utilisateur aux données et applications. Notarisation : utilisation d’un tiers de confiance pour assurer la sécurité des transferts Détection intrusion : repère les activités anormales sur le réseau surveillé Journalisation : enregistrement des activités informatiques des personnels, permet un constat, une analyse et une correction. Analyse de vulnérabilité : identification des failles du système d’information (cyber menace)

SERVICES DE SECURITE Contrôle de routage : sécurisation des chemins (liens et interconnexions) Horodatage : marquage sécurisé des instants significatifs (effacement, mise à jour, …) Certification : élément de preuve d’un fait ou d’un droit accordé ….

MECANISMES DE SECURITE Chiffrement : algorithme basé sur des clefs, transformant les données jusqu’à les rendre illisibles. Signature numérique : ajout de données pour vérifier l’intégrité du message pendant l’échange Pare-feu : un objet (logiciel ou matériel) du réseau qui contrôle les échanges qui le traversent (il n’empêche pas un attaquant d’utiliser une connexion autorisée pour pénétrer le système et n’empêche pas une attaque venant du réseau interne) Antivirus : logiciel censé protéger l’ordinateur contre les logiciels néfastes ou fichiers exécutables (ne protège pas contre un utilisateur légitime qui accède à des données auxquels il n’est pas autorisé, ni contre les virus à venir, …)

SECURITE DES RESEAUX Protection Physique de base La sécurisation des locaux destinés à recevoir les équipements réseaux et téléphonie est primordiale (accès restreint, protection incendie, eaux, climatisation, poussières, …) et doit être maintenue opérationnelle (exemple : incendie du site de salle des marchés LCL boulevard des italiens à Paris en 1996). Elle sera fonction de la sensibilité des machines implantés dans les locaux (serveurs de données, de messageries, de traitements, de sécurité, grands systèmes,…) et doit être traité dès la conception des sites.

SECURITE DES RESEAUX Protection Logique de base Principe d’authentification : la connaissance par l’utilisateur d’un secret (ce qu’il sait : votre mot de passe, la date anniversaire de votre grand-mère, …) la possession par l’utilisateur d’un objet (ce qu’il a : une carte à puce, …) ou quelque chose qui lui appartient intrinsèquement (ce qu’il est : empreinte digitale, oculaire ou vocale) Exemple de la carte « securid » La carte contient une horloge et la clé secrète de l’utilisateur, à la saisie par l’utilisateur de son code PIN, la carte lui affiche un PW imprévisible et utilisable dans les secondes qui suivent sur son ordinateur. Le serveur synchronisé avec la carte et connaissant la clé et le code de cet utilisateur peut recalculer le code et vérifier sa validité.

SECURITE DES RESEAUX Protection Logique de base Ces outils reposent : sur une bonne gestion des droits d’accès (Profils, privilèges, …) : Authentification forte des utilisateurs (RSA-SecureID, ActivCard, biométrie) Chiffrement et scellement des flux (C.I des contenus) Contrôle des mots de passe par logiciel central grands système (PW triviaux, identiques, … sont rejetés) Single sign On : l’utilisateur peut s’authentifier avec le même token sur plusieurs environnements différents (Unix, NT, …) sur la surveillance des équipements d’administration et des droits accordés aux administrateurs à travers un système de trace évolué

SECURITE DES RESEAUX Protection Logique de base LA BIOMETRIE : Elle est basée sur une caractéristique physiologique ou comportementale unique de l’individu (empreinte digitale + ou palmaire ++, la voix +-, l’iris de l’œil +++, dynamique de signature ++, …) qu’on associe au système informatique. Cette caractéristique doit être protégée comme toute donnée confidentielle, en particulier, si elle transite sur le réseau Quelques acteurs : SAGEM, Wondernet « signature manuscrite : analyse de la vitesse, la pression, ..», Oberthur Card System (OCS) « intégration de la biométrie à la carte à puces »

SECURITE DES RESEAUX Traçabilité évoluée - Traces réalisées sur différentes objets routeurs, firewalls, serveurs, applications informatiques, … - Application d’un filtre sur les traces pour faire ressortir les éléments clés (alerte) - Définition du format standard des traces et de leur synchronisation - Infrastructure de remontée et de conservation des traces - Mise en place de sondes (IDS) : permettant une visibilité sur les tentatives d’accès, et sur le contrôle des flux.

SECURITE DES RESEAUX - Les traces doivent être disponibles (archivage), intègres (non modifiables), confidentielles et déclarées à la CNIL. - Administration et supervision si possible centralisées sur le poste du RSSI (alertes, antivirus, firewall, détection intrusion et/ou modification du paramétrage d’un serveur de sécurité …)

SECURITE DES RESEAUX Gestion de base Tests d’intrusion Le but est de mettre en évidence les failles (vulnérabilités) de sécurité (ex: poste connecté à un modem, …) afin de contrer les activités malveillantes. Le risque est l’atteinte à la confidentialité d’informations sensibles. Gestion des noms de domaine et service DNS : Rappel Chaque site Web, serveur de messagerie est identifié par l’utilisateur à travers son nom (ex : www.sociétéxxx.com) La gestion des TLD (Top Level Domain : .com, .fr, …) est assurée par des « enregistreurs » qui ont reçu délégation de l’Icann (Internet Corporation for Assigned Names and Numbers), en entreprise c’est le propriétaire de domaine qui est le responsable

SECURITE DES RESEAUX Gestion de base Exemple de mesures de sécurité réseau Identifier et responsabiliser les prestataires choisis pour les tests d’intrusion (engagement de confidentialité) Éviter l’emploi d’un modem externe pour connecter un poste de travail à un réseau Rendre indépendant le service DNS (Internet) du DNS entreprise (Intranet) et prévoir une redondance des serveurs DNS Filtrage IP sur les points d’accès Internet (point de raccordement sur le FAI (Fournisseur d’Accès Internet), les pivots de routage, les points d’entrée sur les réseaux et systèmes hébergeant des applications Chiffrement de la messagerie (la norme S/MIME : chaque partie possède une bi-clé et le certificat correspondant) est la plus répandue mais il faut la coupler avec un anti-virus.

SECURITE DES RESEAUX Gestion de base Disposer d’un serveur « proxy  (application) » (listes noires, protection contre les codes actifs : active X, …) entre le client et le serveur WEB ainsi que d’un antivirus. Exemple d'architecture d'un point d'interconnexion Internet Firewall 1 Firewall 2 Firewall 3 Internet Intranet Firewalls de technologie différente Serveurs d’accueil Serveurs d’application Serveurs de données

SECURITE DES RESEAUX Gestion de base Placer le ou les serveurs exposé à l’Internet derrière un équipement de filtrage Assurer une configuration sécurisée des serveurs (OS, logiciels installés, outils et protocoles de supervision, …) Détection, traitements et historisation des incidents Mise à jour des versions en fonction des attaques connues Audit récurrent de configuration (auditeur spécialisé interne ou externe) Audit des événements journalisés (corrélation entre différents événements) Contrôle d’intégrité (données, pages web, …)

SECURITE DES RESEAUX Postes nomades Les protections concernant un poste de travail standard peuvent s’appliquer à un poste itinérant les postes nomades doivent accéder à Internet via un réseau sécurisé soumis à une bonne authentification. Le disque dur du poste doit, si nécessaire, être chiffré (répliques de courrier confidentiel, BD, contrats, PW, …) L’utilisateur du poste ne doit pas avoir la possibilité de désactiver les protections mises en place sur le poste (charte de responsabilité) Les matériels périphériques connectables au poste nomade (clés USB, CD, disquette, …) doivent, être interdits, au pire contrôlées et chiffrées.

SECURITE DES RESEAUX Petits et moyens système – Gestion des changements des équipements et des configurations logiques - le remplacement d’une machine par une autre ne doit pas être possible sans accord et contrôle de l’administrateur Maîtrise de la connexion des machines au réseau - se prémunir des connexions sauvages au LAN en fermant l’ensemble des ports réseaux (switch et hub) non utilisés. - vérifier que les machines connectées sont identifiées

MAITRISE ET CONTRÔLE DES FLUX RESEAU Un flux est caractérisé par : - une source, - une destination - un protocole d’échange La topologie du réseau doit être adaptée à la réalisation du filtrage : - regroupement des machines de même nature et de même niveau de sécurité (poste de travail standard, poste d’administration, plate-forme de test, serveurs,…) - protection des segments de réseau (accès physique aux prises murales, détection d’intrus, filtrage protocolaire,…)

MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite) Pour implémenter une bonne sécurité, on doit disposer : - d’une parfaite connaissance des flux qui vont transiter sur le réseau - d’une organisation adaptée au contrôle - d’une surveillance des filtres afin d’éviter la présence de filtres trop rigoureux ou trop ouverts - d’une détection des tentatives d’intrusion - de procédures d’exploitation adaptées au contexte et sécurisées

MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite) - Eviter les filtres de type « adresse IP source, adresse IP destination » qui n’intègrent pas la notion de protocole (Pr) - La règle de base à appliquer : Tous les flux qui ne sont pas explicitement autorisé sont interdits PRECISIONS - Au niveau des interconnexions les machines sont identifiés par leur adresse IP, ainsi une machine interne aura son adresse @I et une machine externe son adresse @E. - La communication sera établie depuis un port émetteur et un port récepteur. - Une connexion sera donc caractérisée par (@I,@E, Pr - Quand la machine émettrice est interne on parle de flux sortants et réciproquement pour les flux entrants

MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite) Le filtrage réseau s’appuie sur l’adresse IP pour identifier et authentifier les machines, or c’est un identifiant fragile, facile à usurper, il conviendra donc : - de regrouper les postes de travail standard dont l’environnement (internet) est considéré comme peu sûr - de regrouper les postes des administrateurs dans un environnement sécurisé (pare-feu + locaux sécurisés) - de regrouper les serveurs sensibles au sein d’un environnement spécifique (DMZ) sécurisé

MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite) A quoi sert le filtrage réseau ? Principalement A protéger les serveurs contre les attaques réseau de niveau IP A ne laisser l’accès aux ports autorisés que depuis certaines machines A s’assurer que les ports laissés ouverts ne seront sollicités que conformément au protocole prévu

MAITRISE ET CONTRÔLE DES FLUX RESEAU (suite) De quelles informations a t-on besoin pour mettre en œuvre le filtrage ? - La connaissance de la matrice des flux (@E,@I,PR) - La localisation des machines E et I dans la topologie du réseau

LES FIREWALLS Équipements dédiés à la sécurité gèrent : - La notion de session (aller et retour des flux) - Les critères de négation (tous les serveurs sauf…) - La journalisation des événements - Le contrôle applicatif de certains protocoles (garantie que le flux transmis correspond au protocole identifié par le port) Certains Firewalls offrent la possibilité de réaliser des développements spécifiques par exemple, script en langage Inspect, ce qui permet de filtrer sur des caractéristiques particulières d’un protocole (ex : usage de port dynamique) Attention si cela n’est pas critique, au sens des performances, dans la protection à un accès Internet, cela peut le devenir dans une autre infrastructure 

CONTEXTE DE L'INTERNET 4

MAIS AU FAIT, QU'EST-CE QUE L'INTERNET? SERVICES LES PLUS UTILISÉS La messagerie électronique (E-mail) Le World Wide Web (Http) Les forums de discussion (Newsgroup) Le transfert de fichiers (Ftp) Moteurs de recherche (Google) Etc. FOURNISSEUR D'ACCÈS INTERNET RÉSEAUX BANQUE SUPERMARCHÉ 5

INTERNET Conçu dans les années 1960 aux US par le « DoD » il s’est déployé progressivement jusqu’à atteindre la planète toute entière. Internet n’a pas de frontière informatique, puisqu’il est constitué de différents réseaux interconnectés entre eux, sa couverture informatique est donc transfrontalière. Il est donc facile d’en tirer parti, puisque les juridictions d’états à états sont différentes, on peut parler de paradis numériques.

LA NÉTIQUETTE DES GRANDES ENTREPRISES CODE DE CONDUITE DES INTERNAUTES EN CAS DE NON RESPECT : risques de marginalisation QUELQUES REMARQUES DE BON SENS Le niveau de confidentialité de la messagerie électronique est faible (carte postale) Ne croyez pas que l'information à laquelle vous accédez est toujours à jour ou exacte … Ne jamais envoyer de gros fichiers de données sans qu'ils aient été demandés par les destinataires Ne jamais renvoyer des messages pyramidaux car il y a souvent un fort risque d'engorgement du réseau

QU’EST-CE QUE LA CYBERCRIMINALITE ? La cybercriminalité est une activité criminelle réalisée au travers du cyberespace via le réseau internet. Le cyberespace est un espace qui donne accès au réseau internet Le cybernaute est une personne qui se déplace(surfe) dans le cyberespace Cyber provient du mot cybernétique : science relative à la communication dans l’être vivant et la machine, Ex Cyborg, …

QUELQUES METHODES Le Hacking ou « hachage en cuisine » il qualifie les activités qui consistent à découper très finement le mode de fonctionnement d’un ordinateur (il donne naissance aux hackers : expert malveillant en informatique, réseaux et télécommunication, « white Hat, Black Hat et les gris »,…) Le Craking donne naissance aux cyberpirates, … Le phishing consiste à attirer les internautes sur des sites frauduleux pour leur extorquer des données personnelles Quelque soit la terminologie, il s’agit de réaliser via Internet des transactions dont les composantes fonctionnelles sont souvent l’argent et le sexe

QUELQUES CAS DE CYBERCRIMINALITE (1/2) LE MAIRE DE CANCALE USURPE EN LIGNE L’IDENTITE D’UN RIVAL, … UNE EMPLOYEE SE FAIT PASSER POUR SA COLLEGUE SUR DES ESPACES DE RENCONTRE (usurpation d’identité sur Meetic) AFFAIRE POLYTECHNIQUE (intrusion sur les ordinateurs) INTRUSION SUR DES ORDINATEURS DU PENTAGONE AFFAIRE AIRBUS / BOEING (concurrence déloyale) MENACES RACISTES PAR COURRIER ELECTRONIQUE (diffamation) UTILISATION DE 53 COMPTES BANCAIRES POUR DETOURNER 400 000 EUROS SUR UNE PERIODE DE 9 MOIS (appât du gain)

QUELQUES CAS DE CYBERCRIMINALITE (2/2) CONTREFAÇON : Edition de chèques sur Internet DIVULGATION : Diffusion des coordonnées des sites du MI5 et MI6 (Services Secrets Britannique) VOL D'INFORMATION : DIFFUSION SUR INTERNET D'OUTILS DE SÉCURITÉ PIRATES DEPUIS UN LABORATOIRE DU GOUVERNEMENT AMÉRICAIN INTRUSION DANS LES SYSTÈMES INFORMATIQUES DU SUPER COMPUTER CENTER DE SAN DIEGO VOL DE 20 000 N° CARTES DE CRÉDIT DE LA SOCIÉTÉ NETCOM ALTÉRATION DE SERVEURS WEB CIA MINISTÈRE DE LA JUSTICE UNE BANQUE FRANCAISE

POLITIQUE DE SÉCURITÉ INTERNET

POLITIQUE DE SÉCURITÉ INTERNET - Principe de base - AGREER L’ENSEMBLE DES ACTEURS ET MOYENS TECHNIQUES RESPONSABLES DE L’OUVERTURE DES RÉSEAUX A INTERNET UTILISATEURS (Agents, Industriels,...) Analyse des Risques Sensibilisation Identification/Authentification obligatoire SERVEURS (Publics, Privés) Autorisation préalable Epreuve d’agrément Agrément

MENACES ET COMPORTEMENTS DE VIGILANCE

MENACES ET COMPORTEMENTS DE VIGILANCE (1/2)

MENACES ET COMPORTEMENTS DE VIGILANCE (2/2)

RAPPEL DES RÈGLES DE BASE A APPLIQUER

RAPPEL DES RÈGLES DE BASE A APPLIQUER UTILISER L'INTERNET EN AYANT LA CONNAISSANCE DES RISQUES INDUITS (vols d’identité bancaire, détournement de fonds, prudence sur l’exactitude des informations recueillies, …) NE PAS CONTOURNER LES DISPOSITIFS DE SÉCURITÉ APPLIQUER LES COMPORTEMENTS DE VIGILANCE RESPECTER LES EXIGENCES DE SÉCURITÉ Mon mot de passe est strictement personnel Je ne consulte que les serveurs en relation avec mon activité Je surveille l'utilisation de mon compte RENDRE COMPTE DE TOUT INCIDENT A SA HIÉRARCHIE ET AU RSSI ou RSI

TEXTES DE RÉFÉRENCE

LES ASPECTS LEGISLATIFS RESPONSABILITÉ CIVILE ET PÉNALE CRYPTOLOGIE LIBERTÉ D'EXPRESSION DROIT D'AUTEUR ET FRAUDE INFORMATIQUE TRAITEMENT DES INFORMATIONS NOMINATIVES RESPONSABILITÉ DU PROPRIÉTAIRE DU SERVEUR PROTECTION DE LA VIE PRIVÉE