01/02/081 ENSSATLSI3 chapitre 1 Cours Sécurité des réseaux et des systèmes informatiques

01/02/082 Plan du cours (1/2) Introduction à la cryptologie (P.Strillou, 10h, P19 P20 P21 P22 ) 1.Cryptographie à clé privée : généralités, systèmes simples, standards (DES, AES) 2.Fondement arithmétiques de la cryptographie 3.Cryptographie à clé publique : généralité et système RSA. 4.Advanced Encryption Standard (AES) : chiffrage et déchiffrage, cadencement des clés. Sécurité des systèmes dinformation : Les enjeux de la sécurité dans lusage des TIC.

01/02/083 Plan du cours (2/2) Modalités de mise en œuvre dune politique de prévention et de sécurisation 1.Mise en œuvre dune politique de prévention : méthodologie, organisations compétentes, diminuer les risques (chartes, gestion des mots de passe).(J-P.Leguine ) 2.Sécurisation des infrastructures de communication (moyens daccès, VLAN, filtrage de paquets IP, métrologie, cas du sans fil et du nomadisme.(J-P.Leguine ) 3.Aspects juridiques généraux : Internet et la loi, la protection des personnes et des données (J-P.Leguine ). 4.Sécurisation des systèmes UNIX (installation, gestion de comptes, authentification, protection des fichiers, sécurisation des accès réseau, outils, recommandations) (V.Carpier ). Outils dauthentification, de sécurisation des systèmes et des applications 1.Introduction aux architectures Web dauthentification commune pour un ensemble dapplication (Single Sign-On)(O.Salaün). 2.Des outils : les protocoles SSH, SSL, S/MIME; les tunnels VPN et SSH, les infrastructures de gestion des clés (IGC)(F.Guilleux ). 3.Les signatures : principe, mise en œuvre et fondements juridiques(F.Guilleux). Evaluation 1.DS (P.Strillou, 1h). 2.DS (V.Barreaud, 1h).

01/02/084 Place du module dans la formation LSI LSI1: –UC systèmes dexploitation LSI2: –UC réseaux, répartition et communication –UC systèmes dexploitation temps réel LSI3: –UC génie des réseaux XML, SR&PI, SR&SI, Conférences

01/02/085 Références Organisations gouvernementales –Direction centrale de la sécurité des systèmes dinformation (DCSSI) –Centre de la formation à la sécurité des systèmes dinformation (CFSSI) Associations Privées –Club de la Sécurité de l'Information Français –Observatoire de la Sécurité des Systèmes d'Information et des Réseaux

01/02/086 Chapitre 1: Sécurité des systèmes dinformation : les enjeux de la sécurité dans lusage des TIC

01/02/087 La SSI, pourquoi? Opérationnel –Réseaux et SI: outils critiques Juridique –Imposé par la loi Stratégique –Concurrence, Confiance, Interaction avec partenaires Logistique –Gestion des risques

01/02/088 Que protéger? Informations classées « défense »: –Protégées au niveau national –Confiées à la France par des organismes ou pays –Relatives aux systèmes darmements ou dopérations Informations confidentielles du service public et des droits du citoyen Des équipements et des informations vitales au système Règle: protection complète et protection en couches (protection de la protection)

01/02/089 Organisation de la SSI en France Dépendent aussi du SGDN: CIEEMG (étude sur les exportations de matériels de guerre/Technologies et transferts sensibles) CIPRS (Points et réseaux sensibles/Sécurité de létat)

01/02/0810 Les acteurs Le premier Ministre Les instances ministérielles (SGDN) –La direction centrale de la SSI –La commission interministérielle pour la SSI Les ministres : le Haut fonctionnaire de la défense –Le fonctionnaire de SSI –Les autorités qualifiées en SSI –Les agents qualifiés en SSI Les entreprises : les responsables SSI Les citoyens, le parlement

01/02/0811 Architecture de responsabilité SGDN/DCSSI protection/défense régulation/compétences scientifiques et techniques Ministère de la Justice Ministère de la Défense Nationale Ministère de lIndustrie, de lEconomie et des Finances Ministère de la Fonction Publique Cybercriminalité Répression Attaque Défense Intelligence économique Politique industrielle Innovation technologique Administration électronique

01/02/0812 Définitions Menace? Interne (70%) ou externe Accidentelle ou intentionnelle Active ou passive Physique ou logique Sur quoi? Les actifs (Biens) Menace / Risque / Vulnérabilité /Attaque

01/02/0813 Origines de la menace Une connaissance critique pour établir une politique de sécurité. ( Fiche dExpression Rationnelle des Objectifs de Sécurité ) Accidents (divulgation, perte, incendie, …) Menaces intentionnelles (malicieuse) –Stratégique –Idéologique –Terroriste –Cupide –Ludique –Vengeur

01/02/0814 Catégories de menace Espionnage Perturbation Vol Fraude Physique Chantage Sabotage Accès illégitimes

01/02/0815 Sécuriser linformation, cest quoi? Sécuriser des opérations sur linformation numérique qui protègent et défendent cette information et les systèmes en assurant leur: –Confidentialité –Intégrité –Disponibilité –Authentification –Non-Répudiation. Se donner les moyens de restaurer les systèmes dinformation en y incorporant: –La protection de linformation –La détection des agresseurs –Des capacités de réaction.

01/02/0816 La confidentialité Propriété dune information qui nest pas disponible, ni divulguée aux personnes, entités ou processus non autorisés. Protection contre une divulgation non autorisée ou Personne dautre que vous et lexpéditeur ne connaissent linformation

01/02/0817 Lintégrité Propriété assurant que ces données nont pas été modifiées ou détruites de façon non autorisée. Garantie que le système et linformation traitée ne sont modifiées que par une action volontaire et légitime. Protection contre une modification non autorisée ou Personne ne peut entendre/recevoir exactement ce que vous dites/envoyez

01/02/0818 La disponibilité Prévention dun déni non autorisé daccès à linformation ou à des ressources. Garantie daccès pour les seuls utilisateurs autorisés ou Garantie daccès à un service informatique quand on le demande

01/02/0819 Authentification (1/2) Lauthentification a pour but de vérifier lidentité dont une entité se réclame. Elle est généralement précédée dune identification qui permet à cette entité de se faire reconnaître du système par un élément dont on la doté. Preuve de lidentité de lorigine Ou Connaître de manière sûre celui qui a envoyé le message.

01/02/0820 Authentification (2/2) 4 classes de conventions 1.Un secret que la personne partage et peut transcrire ou énoncer (mdp, pin, formule magique) 2.Un objet que la personne possède comme un bien matériel (clef, carte, télécommande) 3.Un caractère de la personne / biométrie (empreinte palmaire, digitale, rétinienne, auriculaire, ADN) 4. Un savoir faire de la personne (signature manuscrite, signal de voix)

01/02/0821 La non-répudiation La répudiation est le fait de nier avoir participé à des échanges Deux formes de non-répudiation: –La non-répudiation de lorigine garantit que lémetteur dinformations ne peut nier impunément avoir envoyé des informations. –La non-répudiation de la réception garantit que le destinataire dinformations ne peut nier impunément avoir reçu des informations. Notion juridique dimputabilité

01/02/0822 La notion de risque La probabilité quune menace particulière, utilisant une attaque spécifique puisse exploiter une vulnérabilité particulière dun système résultant en une conséquence non désirée. Processus dévaluation du risque: –Identifier les biens –Déterminer les vulnérabilités –Exprimer la probabilité dexploitation –Calculer la perte attendue

01/02/0823 La nouvelle donne Systèmes dinformation : Centres nerveux des nations et des entreprises Intégration de linformatique et des télécommunications Numérisation, dématérialisation des procédures Complexité croissante des systèmes Multiplication des points de vulnérabilité

01/02/0824 Vulnérabilité du SI à lécoute passive Branchement Interception Fréquence Hertz Interception satellite

01/02/0825 Vulnérabilité du SI à lintrusion Porte dérobée Connexion Vol de session Télémaintenance Interception GSM Déguisement

01/02/0826 Vulnérabilité du SI à la prise de contrôle Cheval de Troie Virus Zombies

01/02/0827 Causes de la vulnérabilité 1.Fossé entre ce que lon attends dun système et ce quil peut faire 2.Réglementation toujours en retard sur la technique 3.Les individus sont … individuels

01/02/0828 Une vulnérabilité dans le temps (securite.org) Découverte de la faille (Re)découverte de la faille ou fuite Publication Correctif disponible Correctif appliqué Victimes Temps Correctif complet Exploit Proof of Concept Automatisation

01/02/0829 Vingt vulnérabilités très répandues SANS Institut Operating Systems –W1. Internet ExplorerW1. Internet Explorer –W2. Windows LibrariesW2. Windows Libraries –W3. Microsoft OfficeW3. Microsoft Office –W4. Windows ServicesW4. Windows Services –W5. Windows Configuration WeaknessesW5. Windows Configuration Weaknesses –M1. Mac OS XM1. Mac OS X –U1. UNIX Configuration WeaknessesU1. UNIX Configuration Weaknesses Cross-Platform Applications –C1 Web ApplicationsC1 Web Applications –C2. Database SoftwareC2. Database Software –C3. P2P File Sharing ApplicationsC3. P2P File Sharing Applications –C4 Instant MessagingC4 Instant Messaging –C5. Media PlayersC5. Media Players –C6. DNS ServersC6. DNS Servers –C7. Backup SoftwareC7. Backup Software –C8. Security, Enterprise, and Directory Management ServersC8. Security, Enterprise, and Directory Management Servers Network Devices –N1. VoIP Servers and PhonesN1. VoIP Servers and Phones –N2. Network and Other Devices Common Configuration WeaknessesN2. Network and Other Devices Common Configuration Weaknesses Security Policy and Personnel –H1. Excessive User Rights and Unauthorized DevicesH1. Excessive User Rights and Unauthorized Devices –H2. Users (Phishing/Spear Phishing)H2. Users (Phishing/Spear Phishing) Special Section –Z1. Zero Day Attacks and Prevention StrategiesZ1. Zero Day Attacks and Prevention Strategies

01/02/0830 Les vulnérabilités Internet Risk Summary Centre dExpertise gouvernemental de Réponse et de Traitement des Attaques informatiques. …

01/02/0831 Agresseurs Malicieux Non-Malicieux Accidents Victime dattaque Méconnaissance InterneExterne Employé Ancien employé PrestataireJuvénilePirate Organisation

01/02/0832 Attaquants? Pirates –Hacker –Cracker Fraudeurs –Interne –Externe Espions –Etat –Privés Terroristes (moins courant)

01/02/0833 Armes? Aptitudes? Compétences techniques –Faible: dénaturer/abimer/perturber, observer/fouiller physiquement, divulguer –Moyenne : chercher, écouter, surveiller, abuser –Forte : modifier, fabriquer un ver/une bombe Ressources? –Moyens de calcul –Système dupliqué –Contacts

01/02/0834 Cibles? physiquesmatérielleslogiquesfinales Comptes administrations Systèmes logiciels Comptes application Mots de passe Annuaires Ressources financières Systèmes militaires Actions politiques informations

01/02/0835 Quelles actions vers quelles cibles? Des « coups dépingle » des hackers … aux attaques structurées du cyber- terrorisme Des actions malveillantes isolées … ou coordonnées Des attaques de moyens informatiques … à dautres moyens Des effets isolés… aux effets domino.

01/02/0836 Techniques dattaques physiques Accès physique aux installations Interception (rayonnements, TEMPEST) Brouillage (rends le SI innopérant) Ecoute (Dérivation, Chiffrement) Balayage (Test dopportunité) Piégeage (en phase de conception) Destruction

01/02/0837 Techniques dattaques logiques (1/4) Fouille De la mémoire et de supports libérés Canal Caché (haut niveau) De stockage / temporel / de raisonnement / de fabrication Déguisement Biométrie / Authentification numérique / Authentification logique (question) Mystification Simulation dune machine (~phishing)

01/02/0838 Rejeu Variante du déguisement Substitution Ecoute + Interception et dun accès distant Faufilement … passer les barrières du métro derrière quelquun Saturation Déni de service Techniques dattaques logiques (2/4)

01/02/0839 Cheval de Troie conception, complicité et attractivité Salami Récupération dinformations parcellaires puis regroupement / petites sommes dargents Trappe Par le développeur (intentionnel ou oubli) Bombe développeur Techniques dattaques logiques (3/4)

01/02/0840 Virus Reproduction, nuisible, combinable avec une autre attaque Ver Collecte dinformation, se déplace Asynchronisme Exploitation des espaces mémoires de processus en veille ou en exécution Souterrain Descendre dun degré dabstraction par rapport à la protection Cryptanalyse Déchiffrement Techniques dattaques logiques (4/4)

01/02/0841 Les technologies de la SSI Chiffrement des données Protection du copyright Filtrage dadresse et de site web cryptographie licences authentification Carte à puce Détection dintrusion Analyse de traces antivirus Scanner de vulnérabilité Garde barrière Réseaux privés virtuels Chiffrement des messages Contrôle de contenus INFRASTRUCTURES SERVICES CONTENUS