Gestion de crise et APT

Dimension: px
Commencer à balayer dès la page:

Download "Gestion de crise et APT"

Transcription

1 EPITA Gestion de crise et APT L attaque de haut niveau Floriane ALIXE Claire GAGELIN Jonathan BUSCA Mathieu HARTHEISER Florent BACCI Baptistin BUCHET Julien MONBILLARD Romain VERIATO Louis VATIER dimanche 20 novembre 2011 Ce rapport présente les attaques dites APT (Advanced and Persistant Threads) et les menaces qui en découlent. Étant avant tout élaborées, ces attaques visent à corrompre le système d information d une organisation pour une longue duré afin de lui subtiliser des données dans une totale discrétion. Pour ce faire, les techniques utilisées sont nombreuses et complexes ; s'en protéger peut devenir énigmatique. Aujourd hui, un nombre important de grands groupes a déjà été victime de ce type d attaque.

2 Gestion de crise et APT Sommaire I. Executive Summary... 4 II. Préambule... 5 III. Introduction... 6 IV. Le piratage informatique Attaque informatique, définition et principes Le piratage, de sa naissance à nos jours Le marché de la cybercriminalité Cartographie des menaces mondiales a. Cartographie des serveurs C&C b. Principales attaques c. L origine des attaquants V. Advanced Persistent Threat Définition a. Advanced b. Persistent c. Threat APT et éléments techniques VI. Les techniques de contrôle Le serveur Command and Control Le Fast Flux Les serveurs bulletproof VII. Les techniques d intrusions et d infections La première intrusion Le vecteur d infection L expansion Récapitulatif des outils Conclusion... 20

3 VIII. APT : Cybercriminel vs entreprises Entreprises attaquées par une APT Des attaques de plus en plus complexes Les différents enjeux a. Attaquants - Moyens de mise en place de l attaque b. Attaque c. Conclusion IX. Conclusion X. Contexte du cas fictif XI. Scénario attaquant Phase de renseignement a. Cartographie des filiales b. Cartographie des employés BELLUS PAME c. Cartographie passive des équipements du SI de BELLUS PAME Attaque par Spear Phishing Détournement du Domain Controler Compromission de BELLUS Avionique XII. Détection de l attaque et gestion de crise Détection Analyse Planification Dégradation Nettoyage en profondeur et reprise XIII. L après crise XIV. Conclusion XV. Les 4 grands enseignements de cette simulation

4 I. Executive Summary By definition all computing attacks are prejudicial. Nevertheless they can differ in type and importance. The term Advanced Persistent Thread (APT) first appeared a few years ago when the following attacks occurred: GhostNet, Aurora, Bercy, RSA Security or Lockheed Martin. The expression designates a kind of attack with specific properties which is primarily aimed at companies or administrations, mainly located in more economically developed countries, where information is most highly valued. These attacks illustrate how cybercrime is quickly becoming more professional and organised. Indeed, the rapid rise in the creation of Web tools designed by hackers for everyone (Crimeware As A Service - CaaS) and the emergence of a black markets where high valued information can be easily exchanged: from the access of credit card numbers, to administrative access to servers, lists, Western Union, through to PayPal accounts. Advanced Persistent Threat (APT) is a specific type of attack and differs from all other cybercrime: Advanced: the attack is a complex one and one which requires a wide range of technological competences (social engineering, 0-day weakness, etc.) ; Persistent: This method enables one to benefit from system accesses both in the present and in the future. In other words, once a system has been accessed it can be easily re-integrated. Therefore, attacks have to be carried out in the most inconspicuous ways (use of root kits and of the fast flux technique) through several channels (use of various protocols) in order to avoid getting caught ; Threat: the aim of the attack is to steal valuable information. It is planned in advance and requires substantial resources and a real will from the attacker. From the virtual study it be concluded that: the organization undergoing the attack will not be able to know the real economical value of the stolen documents ; There is no guaranty of having removed all vectors of compromission from the information systems. It is consequently essential to study and analyse the systems behaviour to check whether valuable information is still be accessed ; the cost of a crisis of this magnitude is high because it can cause a temporary shutdown of businesses and thus jeopardize the organization's image. Its future is potentially called into question; one possible outcome would be bankruptcy and business closure. 4

5 II. Préambule L'étude de la chronologie historique des grandes attaques informatiques - précurseurs de la cybercriminalité - permet de découvrir et poser le contexte qui entoure le monde de la sécurité SI d'aujourd'hui. Elle permet de montrer l évolution d'une piraterie non négligeable et de constater l'installation progressive d'un véritable marché noir apportant de nombreux "business" pour les plus nécessiteux. La présentation d un scénario d'attaque et de défense fictif mais réaliste, permet de mieux percevoir les conséquences désastreuses qu'une APT peut engendrer ; l'avant, le pendant et l'après crise, provoquée par une telle offensive, peuvent alors être étudiées avec plus de simplicité. Une telle approche permet l'explication simple et concrète de ce qu est une APT et permet de lier théorie et pratique en une unique démarche. 5

6 Gestion de crise et APT III. Introduction L'évolution des technologies numériques est telle que celles-ci sont devenues omniprésentes, créant ainsi une nouvelle dimension dans notre monde : le cyberespace. Les conséquences matérielles et humaines de son exploitation peuvent-être importantes. C'est pourquoi il convient de le maitriser au mieux pour en faire une source de progrès et de croissance. Cette maitrise ne peut exister que par un ordre définit et le respect de cet ordre. Ainsi, la législation du cyberespace a vu le jour. Cependant, toute forme de législation induit des comportements déviants. La cybercriminalité représente les délits liés à l'utilisation des technologies numériques. Son développement étant croissant, les attaques informatiques dont elle est à l'origine se multiplient également. Si toutes les attaques informatiques sont préjudiciables, il en existe de tout genre et de toute gravité. Ainsi, depuis quelques années, le terme APT a vu le jour. Il caractérise une forme d attaque informatique visant des propriétés particulières et dirigées contre des entreprises ou administrations. Cette partie a pour objectif d'analyser le contexte d'évolution d'une APT et ses caractéristiques. Dans un premier temps, il est donc essentiel d'étudier plus précisément l'origine de ce type d'attaque : la cybercriminalité. La deuxième partie de cette analyse vise à définir clairement une APT, à travers ses particularités et son anatomie technique, la distinguant d'un autre type d'attaque informatique. Ils représentent des menaces pour les entreprises ou administrations qu'il est essentiel de qualifier pour cette étude. Ainsi, la deuxième partie traitera de ces menaces en définissant d'une part les différents types de menaces possibles et d'autre part en qualifiant ces menaces à l'aide d'une pondération. Enfin, les caractéristiques et les objectifs d'une APT ne suffisent pas à définir ce type d'attaque. Ainsi, cette étude ne saurait être complète sans définir la cible d'une APT. C'est pourquoi les enjeux d'une APT seront développés en dernière partie. Celle-ci sera complétée par quelques exemples sommaires pour étayer les propriétés d'une APT décrit dans toute cette partie. 6

7 IV. Le piratage informatique 1. Attaque informatique, définition et principes Une attaque informatique est l'exploitation d'une faille, d une mauvaise configuration d'un système informatique (système d'exploitation, logiciel, etc.) ou l utilisation frauduleuse d un secret à l insu de son propriétaire et à des fins souvent préjudiciables. Réaliser ce type d attaque porte un nom connu de tous : le piratage informatique. Des attaques informatiques ont lieu en permanence sur Internet ; on en compte plusieurs centaines par minutes. Elles peuvent être de multiples natures (virus, cheval de Troie, attaque de masse, etc.) et se réalisent, la plupart du temps, de manière totalement transparente. Malgré le risque pénal, les motivations des attaquants sont nombreuses : voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ; récupérer des données bancaires ; s'informer sur une organisation (utilisateurs, activités, etc.) ; utiliser les avantages des ressources d un système informatique (bande passante, etc.) ; utiliser le système comme un «rebond 1» pour une attaque sur un autre système. Les manières d attaquer sont nombreuses, pour peu qu'il existe une vulnérabilité exploitable. Ces dernières peuvent être catégorisées comme suit (liste non exhaustive) : Accès physique : l'attaquant réussi à obtenir un accès aux locaux de l entreprise et dans le pire des cas, aux machines informatiques souhaitées. Exemple : coupure de l'électricité, ouverture du boîtier de l'ordinateur et vol de disque dur, vandalisme, piégeage logique ou matériel, etc. Interception de communications : l attaquant réussi à se placer entre deux communicants et écoute ce qu il se passe. Exemple : espionnage (MITM), détournement ou altération de messages, etc. Dénis de service : attaques visant à perturber le bon fonctionnement d'un service. Exemple : inondation de requêtes HTTP sur un serveur web par de nombreuses machines (DDoS), inondation de requêtes TCP/IP sur un réseau d entreprise pour le saturer, etc. Social engineering : l attaquant utilise la faille humaine ; il trouve de l information en communiquant directement avec l utilisateur ou plus récemment, sur les réseaux sociaux. Exemple : l attaquant envoie un en se faisant passer pour un collègue de travail et demande le mot de passe de l Intranet. 1 Principe des serveurs C&C, vu dans la partie XX. 7

8 Backdoor : il s'agit d'une porte dérobée dissimulée dans un logiciel, permettant un accès ultérieur à son concepteur. Exemple : mot de passe inscrit en dur dans le code permettant d accéder à une application, fonctionnalité cachée permettant d exécuter des commandes. 2. Le piratage, de sa naissance à nos jours Avant les ordinateurs, les phreakers C est au début des années soixante, en pleine révolution sociale américaine, que le phreaking est apparu. Diminutif de freak, free et phone (i.e. «les mordus du téléphone gratuit»), le phreaking est une pratique de piratage du système téléphonique permettant d effectuer gratuitement des appels interurbains. Cette technique est connue comme le premier piratage technologique. Les naissances des ordinateurs personnels En 1975, prit naissance le Homebrew Computer Club à Menlo Park en Californie. Ce club avait pour but de déplacer l ordinateur des laboratoires et entreprises pour le mettre à disposition du grand public. Deux membres du Club se démarquèrent rapidement et finir par former Apple Computers et le fameux Apple I. Peu de temps après, Apple, IBM ainsi que des centaines d'autres petites et moyennes entreprises mirent sur le marché les premiers micro-ordinateurs. C'est donc à cette époque que la communauté «hackers» s est développée. Une des toutes premières actions dans ce domaine a visé l école Polytechnique avec le piratage de Cray One 2, en Les piratages qui ont marqué ces 40 dernières années C est en 1983 que Kevin MITNICK, jeune étudiant de l époque, réussit à rentrer pour la première fois de l histoire, dans le système informatique du Pentagone. Après avoir récupéré un accès à ARPANet 3 grâce à un ordinateur déjà connecté au réseau, MITNICK réussit à trouver un point d entrée et s introduit ainsi sur le réseau interne du Pentagon pour y dérober des informations de la plus haute importance. En 1987, Kevin MITNICK et son ami Lenny DiCicco, arrivent à s introduire sur le réseau interne du laboratoire de recherche de la Digital Equipment Corporation (DEC). MITNICK innove cette fois-ci en réussissant à brouiller la totalité des traces laissées derrière lui. Les autorités ont donc eu beaucoup de mal à remonter jusqu à lui. En 1988, Robert TAPPAN MORRIS, aujourd hui professeur au Massachusetts Institute of Technology (MIT), a créé le tout premier ver d Internet. Le concept d un ver est quelque peu différent du piratage classique : plutôt que de s introduire soi-même sur un réseau, c est un programme qui se charge de faire le travail. 2 Ordinateur le plus puissant de l époque, d une valeur d environ 70 millions de Francs. 3 Ancêtre d Internet utilisé par l armée, les entreprises et les grandes universités. 8

9 Ce premier ver, intitulé «le ver Morris», a infecté plusieurs milliers d ordinateurs en quelques heures et a engendré une facture de réparation approchant les $ par infection. En 1994, Vladimir LEVIN devient la première personne à utiliser le piratage informatique pour gagner de l argent. Pour ce faire, il s est infiltré sur le réseau interne de la banque américaine Citibank. Il a piraté la connexion analogique de la banque et s est offert un accès à plusieurs comptes. C est de cette manière qu il est parvenu à transférer la somme de 10,7 millions de dollars vers des comptes aux Etats-Unis, en Finlande, en Allemagne, en Israël et en Hollande. D autres manières de pirater sont arrivées au fur et à mesure. En effet, Jon JOHANSEN s est par exemple penché sur la question de contourner les protections de CD, DVD et autres fichiers numériques. Le piratage des jeux-vidéos, des films et surtout de la musique est donc arrivé dès les années 90. Un phénomène en évolution Avec la démocratisation d Internet, les pirates sont aujourd hui plus nombreux que jamais. Toutefois, le nombre de grandes attaques ne semble pas connaître une telle explosion. Le mouvement a pris une direction quelque peu différente de celle empruntée auparavant. En effet, depuis plusieurs années, les experts en sécurité doivent faire face à de nouvelles menaces, moins ponctuelles, moins virulentes mais beaucoup plus massives et critiques. Les pirates n agissent plus seul et envers les entreprises mais semblent se rassembler et s attaquer à l échelle des pays. Ce phénomène peut ainsi être caractérisé par l arrivée des botnets (réseaux composés de plusieurs milliers de machines hébergeant, à l insu de leur propriétaire, un programme permettant la réalisation de diverses actions malveillantes). Les plus connus portent un nom ; on y trouve TDL, RogueAV, Zeus, Monkif ou encore Koobface. Tous représentent aujourd hui des millions d ordinateurs infectés dans les quatre coins du monde permettant de multiples attaques massives. Cette évolution se traduit aujourd hui avec l apparition de deux phénomènes. Tout d abord, il y a une structuration de la cybercriminalité à l instar du trafic de drogue et autre mafia. Des organisations exploitent les failles informatiques pour créer un marché et faire fortune. Ainsi, il est à noter l émergence du CaaS : Crimeware as a Service. Des outils ou des services sont mis à disposition de tout un chacun permettant à tout le monde, y compris ceux n ayant pas de compétence technique particulière, de commettre des actes de piratage. Le signe le plus distinctif de ces deux phénomènes intrinsèquement liés est l émergence et l ouverture à tous des sites de «Black Market». 9

10 3. Le marché de la cybercriminalité Les termes de «marché noir de la cybercriminalité» sont apparus au même moment qu une large opération de démantèlement (i.e. l opération «Firewall») menée en 2004, par les services secrets américains. Cette dernière a permis de dévoiler au public les premières informations sur ce nouveau marché en ligne. Vingt-huit membres principaux du ShadowCrew, une communauté en ligne d environs cybercriminels, ont finalement été arrêtés pour avoir été à l'origine de l'envoi de milliers de messages de phishing ainsi que du piratage de réseaux d'entreprises. Les informations dérobées étaient alors échangées sur Internet, aux enchères, formant ainsi l un des tous premiers marchés noir de la sorte. Depuis, de nombreuses communautés de fraude en ligne se sont créées, émergeant tout d abord sur le réseau IRC (Internet Relay Chat). Au sein de ces communautés, les cybercriminels vendent leurs services, échangent des conseils et se partagent des informations. Pour les attaques groupées qu ils orchestrent, certains se partagent les tâches et ne réalisent donc pas les attaques de A à Z ; ils comptent en effet sur d'autres membres de la communauté pour finir ou continuer le travail. Toutes les attaques, menées à bien, offrent différents types de marchandises pouvant, a posteriori, être échangées ou vendues au travers de forums en ligne tout comme un site e-commerce pourrait le proposer légalement. Voici une liste non exhaustive de ce qui est proposé aujourd hui, sur le marché noir de la cybercriminalité : numéros de cartes de crédit ; accès administratif aux serveurs ; listes d'adresses électroniques ; comptes de services de paiement en ligne ; fausses devises ; comptes Western Union, Paypa, etc. 10

11 4. Cartographie des menaces mondiales a. Cartographie des serveurs C&C4 En récupérant une liste de domaines compromis par des logiciels malveillants, il est possible de corréler ces résultats sur une «Google Map» grâce aux différentes API existantes. Une grande quantité de serveurs C&C est aux Etats-Unis, en Europe et en Chine principalement. Il y en a également en Afrique subsaharienne, au Moyen-Orient, en Australie, au Japon et en Russie. De cette cartographie, résulte le constat selon lequel les grandes puissances économiques possèdent sur leur territoire, la majorité des serveurs compromis permettant de contrôler des attaques à distance à travers la planète. 4 Source :http://www.malwaredomainlist.com/mdl.php?inactive=&sort=ip&search=&colsearch=all&ascordesc=desc&quanti ty=50&page=0 11

12 b. Principales attaques 5 Cette carte rassemble les principales cibles d attaques de ces dernières années (de 1999 à aujourd hui). Il convient de constater que les attaques s orientent principalement vers les États-Unis et l Europe même si la Chine et le Moyen-Orient sont aussi visés, pays industriels et économiquement développés. Les attaquants les visent naturellement car ces cibles lui permettent de maximiser ses gains illégitimes. Cette carte reflète aussi par extrapolation le climat politique qui règne aujourd hui entre les différents états, et la course vers la première place économique mondiale. Tout est bon pour déstabiliser son adversaire, jusqu à dérober des informations confidentielles pour prendre de l avance. 5 Source : https://www.google.com/fusiontables/datasource?dsrcid=930451&search=web&cd=1 12

13 c. L origine des attaquants 6 Ce dernier planisphère regroupe les principales zones géographiques sources d attaque de 1999 à aujourd hui. Ces attaques sont donc lancées majoritairement depuis l Europe, le Moyen- Orient et la Chine. Les États-Unis, le Brésil et la Russie sont aussi des sources d attaques. Cette observation, confirme bien le fait que les attaques majeures sont menées depuis des pays faisant partie des grandes puissances industrielles et économiques de ce monde. 6 Source : https://www.google.com/fusiontables/datasource?dsrcid=930451&search=web&cd=1 13

14 V. Advanced Persistent Threat 1. Définition Les Advanced Persistent Threat sont une nouvelle forme d'attaque définie il y a seulement quelques années par les professionnels de la sécurité. Ces attaques sont très symptomatiques d'un monde où la cybercriminalité se professionnalise et où l'on s'éloigne de plus en plus du hacker solitaire à la recherche du simple défi technique. Les APT sont un type de menace précis et se distingue de toutes autres attaques cybercriminelles de par les trois critères qui forme son acronyme : a. Advanced Par définition, une APT fait appelle à des techniques qui ne sont pas à la portée de tout cybercriminel. Ce qui fait qu'une attaque peut être qualifiée "d'avancée" est le fait de faire appel à un large éventail de techniques pour parvenir à ses fins. Lors d'une telle attaque, des vulnérabilités connues peuvent être utilisées, mais dans le cas où celles-ci ne suffiraient pas, des vulnérabilités spécifiques de type 0-day peuvent être exploitées spécialement pour l'attaque. Les techniques de social engineering viennent compléter cet éventail de solution. Ces attaques sont le plus souvent effectuées après une phase de collecte de renseignements qui sert à connaitre les faiblesses de la cible et ainsi établir un plan détaillé du déroulement de l'attaque. b. Persistent Le but d'une APT n'est pas d'obtenir des renseignements de manière ponctuelle. En effet, pour qu'une attaque soit qualifiée d'apt celle-ci se doit d'être persistante, c'est à dire de maintenir un accès à la source d'information que l'on souhaite obtenir le plus longtemps possible et tout entreprendre pour revenir si elle venait à être supprimée du SI. Cela implique de porter un soin tout particulier au code malveillant qui va extraire les données. Il ne doit pas être détecté sous peine de se faire désactiver. L'envoi des données doit donc passer inaperçu. De plus, le code en lui même doit être indétectable. Pour cela, il est presque indispensable de bénéficier d'une capacité de maintenance à distance afin d'outrepasser la sécurité des antivirus. De plus, en cas de détection du code malveillant l'attaque doit pouvoir se poursuivre. Pour cela, plusieurs canaux d'extractions sont en général prévus. Ainsi, si l'un d'eux est détecté l'extraction peut se poursuivre en activant un autre canal. Dans le cas extrême où tous les moyens de l'attaquant seraient désactivés, une nouvelle attaque peut alors être menée afin de reprendre le contrôle des données ciblées. Il peut utiliser à cette fin des vulnérabilités qu il aura identifiées au préalable, mais qu il n aura pas exploitées. 14

15 c. Threat La conjonction des deux critères précédents faits de l'apt une menace très sérieuse. L'entité menant une telle attaque a à la fois les capacités de réaliser une offensive techniquement avancée, mais elle montre également une forte volonté de parvenir à ses fins en engageant les moyens nécessaires. Ce qui caractérise donc cette menace est qu'elle est avant tout ciblée, elle contraste donc avec le hacking opportuniste qui consiste à rechercher un type de vulnérabilité précis et à passer son chemin si la vulnérabilité en question n'est pas présente. Cette menace se distingue aussi de celles provoquées par les hacktivistes ou les hackers en quête de notoriété, qui eux vont chercher à médiatiser leurs exploits. La menace ici se doit d'être invisible. En effet, c'est le fait de passer inaperçu qui va permettre aux attaquants de pouvoir maintenir un accès prolongé dans le temps à la source d'informations ciblée. Les APT sont donc un type d'attaque réalisée par un organisme ou un groupe de personnes qui a à la fois la capacité et l'intention d'attaquer une cible précise. Cette attaque est coordonnée par des moyens humains plutôt que par l'exécution automatique d'un quelconque malware. L'attaque est organisée par des personnes qualifiées qui ont la motivation nécessaire afin d'atteindre leur objectif. 2. APT et éléments techniques Les techniques utilisées dans le cadre d une APT sont assez proches de celles utilisées dans les botnets. Elles sont toutefois plus élaborées, et ciblées vers une entité spécifique, généralement de grande taille, et dont l objectif est de prendre le contrôle partiel ou total de son système d information. Le but n est pas l infection en masse mais l infection ciblée. Afin de permettre à l intrusion de durer le plus longtemps possible, les auteurs utilisent toute une gamme d outils permettant à la fois de cacher l infection et de ne pas être identifiés en cas de découverte de l APT. VI. Les techniques de contrôle 1. Le serveur Command and Control La technique la plus courante est celle dite du «Serveur Command and Control». C est un serveur relais qui reçoit les commandes de l auteur de l intrusion, et les transmet aux agents présents dans le réseau d ordinateurs compromis, appelés zombis. Le serveur C&C n appartient généralement pas aux auteurs de l attaque, mais à lui-même été compromis au préalable et rend donc la remontée jusqu aux auteurs plus difficile. 15

16 Ce serveur peut utiliser une vaste gamme de protocoles de communication pour dialoguer avec les agents d infection, en fonction des flux autorisés par le firewall. On trouve ainsi des flux HTTP et HTTPS, mais également des protocoles divers tels que MSN, FTP, ou encore des moyens plus subtils tels que DNS ou NTP, difficilement contrôlables. Il y a souvent plusieurs serveurs C&C, dont la liste est maintenue et envoyée régulièrement aux agents. L objectif est d éviter que la «perte» d un serveur C&C ne soit préjudiciable à l attaque. De plus, les serveurs C&C varient fréquemment afin de diminuer les traces grâce à différentes techniques, notamment le Fast Flux. 2. Le Fast Flux Le changement fréquent de serveur se fait grâce aux DNS, et à la technique dite du «Fast Flux». Cette technique se déploie en plusieurs phases. La première est de constituer un petit botnet, d une centaine de machines, qui vont agir comme reverse proxy vers les serveurs C&C. L objectif est ici de masquer l adresse IP réelle des serveurs C&C, de manière à cacher leur existence. Pour accéder à ce botnet, l attaquant va configurer un serveur DNS qu il aura compromis 7 de telle sorte qu il délivre aléatoirement l IP d un des membres du botnet, avec un TTL (time to live) très court. L objectif est que l adresse IP utilisée change constamment, rendant ainsi difficile la consolidation des logs pour les administrateurs. Figure 1 : Dig sur un serveur C&C de ZeuS qui utilise la technique du Fast Flux 7 Possibilité d héberger également dans un pays disposant d une législation laxiste en matière de piratage informatique. 16

17 Enfin, les agents infectieux et le serveur C&C utilisent le reverse proxy de n importe lequel des membres du botnet pour dialoguer et s échanger des instructions. De par leur grand nombre, la perte d un membre du botnet n est pas préjudiciable, occasionnant au pire une latence de quelques secondes le temps de passer sur un autre membre. 3. Les serveurs bulletproof Afin de disposer d une infrastructure, les attaquants se fournissent parfois chez des prestataires de serveurs «Bulletproof». C est un ensemble de services qui est vendu par des hébergeurs peu regardant envers les pratiques de leurs clients. Ils ne répondent pas aux injonctions de la justice ou ralentissent les demandes légales, et «couvrent» ainsi leurs clients en échange d un coût supplémentaire. Un exemple de prestataire Bulletproof dédié au spam. On observe la mention «We guarantee your site will not get shut down». 17

18 En plus de cette protection, le fournisseur de Bulletproof fourni en général un Fast Flux permettant de cacher le serveur, ainsi qu une infrastructure de haute disponibilité permettant de garantir la présence permanente du serveur en ligne. Ils disposent également de protections contre les tentatives d intrusions, ainsi que de systèmes de surveillance avancée de leur réseau. VII. Les techniques d intrusions et d infections L infection se fait en profondeur : il s agit pour l auteur de l APT d étendre progressivement son contrôle aussi largement que possible sur le SI de l entreprise, si possible en atteignant les emplacements de documents importants ou le contrôle de systèmes stratégiques. 1. La première intrusion La première intrusion n a pas vraiment de cible précise. Les cibles peuvent être des administrateurs ou de simples utilisateurs, attaquées la majeure partie du temps via des méthodes de social engineering dans un premier temps afin de mettre en place une backdoor. Même si n importe quel utilisateur peut servir de vecteur d intrusion, les administrateurs du SI restent tout de même les cibles prioritaires. L objectif de l attaquant est de connaître au maximum sa victime afin que celle-ci ne soit pas sur ses gardes lors de l infection. Pour cela, il utilise en général des outils permettant de faciliter le social engineering sur sa victime. Il pratique l analyse des réseaux sociaux, observe les habitudes de sa cible et acquiert un maximum d informations publiques sur elle. Par exemple, le logiciel Maltego permet de regrouper toutes les informations possibles sur une personne et de les compiler de manière à obtenir un profil complet. 2. Le vecteur d infection L intrusion dans le SI n utilise en général pas de techniques très sophistiquées. La majeure partie du temps, il s agit d exploiter une vulnérabilité non corrigée dans les outils du poste de travail, comme une vulnérabilité dans Adobe Reader, dans Flash ou encore grâce à des macros Office. Mais il existe tout de même un éventail assez large de techniques telles que : récupération des hash des mots de passe de comptes administrateurs dans le processus lsass.exe (Local Security Authority Subsystem), si l attaquant est administrateur du poste de travail ; élévation locale grâce à une faille 0-day dans le noyau ou dans un service ; récupération du mot de passe administrateur dans un script présent sur le poste de travail ; détermination des mots de passe des des comptes administrateurs du domaine par «bruteforce» ; exploitation de failles système distantes, par exemple, la faille MS (NET API). 18

19 L attaquant envoie par exemple un document par à sa cible, qui aura été préparé spécifiquement pour celle-ci grâce au social engineering. Une fois le document ouvert, le poste de la cible est compromis et constitue un point d entrée dans le SI. Le premier objectif de l attaquant sera alors de sécuriser son point d entrée. Il lui faut ainsi camoufler l infection, en utilisant en général un rootkit (s il est administrateur du poste de travail) qui masquera sa présence face aux antivirus. 3. L expansion Une fois le point d entrée sécurisé, l objectif sera alors d augmenter la zone du SI contrôlée. L auteur de l APT va en général utiliser des techniques tels que les keyloggers et l analyse du contenu du poste de travail, ainsi qu une analyse discrète du réseau, afin d obtenir des informations lui donnant un accès légitime sur d autres postes. S il a obtenu l accès à un poste d administrateur, son objectif principal sera de prendre le contrôle de l Active Directory de l entreprise. Pendant toute cette progression, l attaquant doit prendre soin de ne pas être repéré par les administrateurs tout en augmentant la zone sous son contrôle. Pour cela, son objectif sera d obtenir un accès légitime dès que possible, afin que ses opérations passent pour des accès normaux. Il est donc très important de ne pas observer que les flux «illégaux», mais aussi ceux qui semblent émaner d utilisateurs légitimes. 4. Récapitulatif des outils Intrusion Camouflage Communication Expansion Faille 0day Rootkits Serveur C&C Keylogger Social engineering Fast flux Protocoles variés Poste (HTTP, HTTPS, IRC...) administrateurs Hébergement Bulletproof Active directory des 19

20 5. Conclusion Les techniques utilisées dans une APT ne sortent pas de l ordinaire. Il s agit des mêmes méthodes que celles employés au quotidien par des cybers escrocs pour le spam, le DDOS, les infections en masse ou encore l acquisition de données marketing. Les outils sont simples, et ciblent chacun une tâche bien précise. Néanmoins, ce ne sont pas les outils qui constituent une APT, mais leur utilisation en commun par un groupe d individus ayant une cible précise. De ce point de vue, l APT est donc une attaque dont la complexité provient de l agencement et de l exploitation de combinaisons de plusieurs techniques simples et l utilisation de techniques plus avancées (faille 0-day), qui permettent de donner à l attaquant un avantage important, à savoir celui de l utilisation de techniques bien maîtrisées et de techniques non connues. Le meilleur moyen de se prémunir contre une APT reste donc de se prémunir contre chacun de ces outils individuellement. Ils constituent autant de failles dans le SI qui peuvent certes être exploitées pour une attaque en masse, sans cible, mais également pour une attaque ciblée et donc beaucoup plus efficace. 20

21 VIII. APT : Cybercriminel vs entreprises 1. Entreprises attaquées par une APT Les tableaux suivants reprennent les caractéristiques principales (documents visés, nombre de machines infectées, etc) des APT les plus connues dans l optique d identifier les points communs et les divergences. Nom usuel GhostNet Night Dragon Aurora Date de début 22 mai 2007 Novembre 2009 Début Décembre 2009 Date de détection Mars 2009 Début Janvier 2010 Pays 103 pays (Taiwan, Etats-Unis, Vietnam, ) Etats-Unis Etablissement(s) - Ambassades - Ministères des affaires étrangères - Organisations non gouvernementales Entreprises des secteurs de l énergie: (Exxon Mobil, Royal Dutch Shell, BP, etc) Plus de 30 entreprises Américaines : Google, Adobe et bien d autres Documents visés - Documents administratifs de très forte valeur - Documents privés du Dallai Lama Cartes topographiques informatisées confidentielles qui montrent les emplacements de réserves pétrolières potentielles - Documents couverts par le droit sur la propriété intellectuelle - Comptes Google des militants des droits humains Vecteurs d attaque Cheval de Troie (Gh0st RAT*) -MS Windows - RATs* «zwshell», «Gh0st RAT» et «Poison Ivy» - Injections SQL - Vuln. MS - Pas d utilisation de faille 0-day - Faille 0-day dans MS Internet Explorer 6 à 8 - Vuln. Adobe Reader Nombre de machines compromises > 1300 dans 103 pays (principalement Taiwan, Etats-Unis, Vietnam et Inde) Contre mesures Chez MS : - Audit d Internet Explorer - Sortie d une MAJ Origine supposée Hainan, Chine (démenti) Beijing, Chine (démenti) Chine (démenti) 21

22 Nom usuel Bercy RSA Security Lockheed Martin Date de début Décembre 2010 Date de détection Début Janvier 2011 Mars mai 2011 Pays France Etats-Unis Etats-Unis Etablissement(s) Ministère de l Economie et des Finances Documents visés Dossier sensibles de la présidence française du G20 RSA Security : entreprise américaine spécialisée dans la sécurité informatique «Two-factor tokens», graines servant à la génération de codes pseudo-aléatoires utilisés dans l authentification SecurID utilisés par plus de clients Lockheed Martin, 1 er sous-traitant du Pentagone : employés, $45 milliard de CA Informations critiques sur les avions de combats F-22 et F-35 Vecteurs d attaque Nombre machines compromises Contre mesures de Cheval de Troie dans un PDF 150 machines - 20 à 30 personnes de l ANSSI* ont travaillé jour et nuit pendant 2 mois [Source : Paris Match] - Maintenance de postes de travail - Revoir les politiques de sécurité et audit des systèmes d informations de Bercy - Utilisation des tokens SecurID volés a RSA Security - Social Engineering Origine supposée Chine ou Asie Chine? Russie? * RAT : Remote Access Trojan * ANSSI : Agence Nationale Sécurité Système d Information * MS : Microsoft 22

23 2. Des attaques de plus en plus complexes Les voleurs d informations n hésitent plus à attaquer d abord un fournisseur de solutions de sécurité pour ensuite mener à bien des attaques contre ses clients comme le montre l attaque de Lockheed Martin (mai 2011) après l intrusion dans le système d information de RSA Security (mars 2011). Il est avéré que Lockheed Martin utilisait la solution d authentification de RSA Security «SecurID» qui, rappelons-le, est une solution d authentification forte utilisée par les sociétés les plus prudentes au monde. Suite à l annonce par RSA Security dans une lettre ouverte du 21 mars de la compromission de leur système d information et du vol de tokens directement utilisés dans leur solution SecurID, Lockheed Martin n a pas jugé nécessaire de changer de solution d authentification et s est retrouvé attaqué a son tour. Les attaquants s étant servis des clés pour signer le malware et donc le faire passer pour une donnée légitime. On rappellera donc l importance des fournisseurs et plus particulièrement des fournisseurs de solutions de sécurité dans la sécurisation d un système d information. 3. Les différents enjeux Durant le déroulement d une attaque de type APT réalisée par un groupe d attaquants sur une entreprise, différents points sont mis en jeu, représentant les possibles gains ou pertes pour chacune des deux parties. Cette partie permettra de donner une vision globale, schématique et simple des enjeux que représente l APT pour les deux parties concernées. On peut distinguer des enjeux différents dans la phase amont de l attaque. Pour les attaquants il s agit de réunir des moyens pour la réalisation d une APT. Pour l entreprise n ayant pas conscience d une attaque, d avoir des moyens de s en protéger. À partir du moment où l APT a commencé, l objet de l attaque est le même pour les deux parties, l information sensible, mais les positions sont opposées: ce que l entreprise peut perdre et ce que le groupe de malfaiteur peut gagner sur le court et long terme. 23

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Criminalité numérique Etat des menaces et tendances

Criminalité numérique Etat des menaces et tendances Etat des menaces et tendances Laurence Ifrah 1 er au 2 avril 2008 Cyberconflits 2007 Les deux premières attaques massives ciblées L Estonie - La Chine Les attaquants et commanditaires ne sont pas formellement

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté.

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté. Septembre 2015 Depuis quelques mois, les entreprises françaises sont la cible d attaques informatiques utilisant des logiciels malveillants 1 (ou malwares), dont le but est de réaliser des opérations bancaires

Plus en détail

Les vols via les mobiles

Les vols via les mobiles 1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus

Plus en détail

SISR 1. TP Antivirus DOGNY CHRISTOPHE

SISR 1. TP Antivirus DOGNY CHRISTOPHE SISR 1 TP Antivirus Table des matières Qu est-ce qu un Antivirus?... 2 Chiffre d affaire des Antivirus... 2 Fonctionnalités des antivirus... 3 Liste d antivirus... 4 Différence entre une solution «Autonome»

Plus en détail

Sécurité Informatique

Sécurité Informatique Sécurité : Sécurité informatique (Support de cours) R. MAHMOUDI (mahmoudr@esiee.fr) w 1 Sécurité Informatique Plan du cours - Introduction - Risques & Menaces - Vulnérabilités des réseaux - Firewall -

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

Passé l'injection, Ajax entre en action

Passé l'injection, Ajax entre en action L Expertise Sécurité Passé l'injection, Ajax entre en action Par Philippe Humeau Contexte Les utilisateurs sont désormais "éduqués" et le Web est à la fois devenu un outil de travail, une source d'information,

Plus en détail

Business & High Technology

Business & High Technology UNIVERSITE DE TUNIS INSTITUT SUPERIEUR DE GESTION DE TUNIS Département : Informatique Business & High Technology Chapitre 09 : CC : Cloud Computing Sommaire Introduction... 2 Définition... 2 Les différentes

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche? Présentation du problème La banque Boursorama propose un logiciel de protection supplémentaire pour les transactions sur Internet. Ce logiciel est téléchargeable à l adresse suivante : http://www.trusteer.com/webform/download-rapport

Plus en détail

Protégez votre entreprise contre la fraude.

Protégez votre entreprise contre la fraude. Protégez votre entreprise contre la fraude. 1 La fraude aux entreprises Qu est-ce qu il y a dans ce document? 1 La fraude aux entreprises 3 Qu est-ce qu il y a dans ce document? Comment utiliser ce document?

Plus en détail

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de

* Un flux TCP/UDP est une communication (plusieurs sessions TCP ou UDP) entre deux machines IP pendant un intervalle de Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

TRANSFORM IT + BUSINESS + YOURSELF. Copyright 2012 EMC Corporation. All rights reserved.

TRANSFORM IT + BUSINESS + YOURSELF. Copyright 2012 EMC Corporation. All rights reserved. TRANSFORM IT + BUSINESS + YOURSELF Transformer l'approche de la sécurité Garantir la confiance dans un monde de plus en plus numérique TRANSFORM IT + BUSINESS + YOURSELF Bernard MONTEL RSA France L entreprise

Plus en détail

Manuel du logiciel PrestaTest.

Manuel du logiciel PrestaTest. Manuel du logiciel. Ce document décrit les différents tests que permet le logiciel, il liste également les informations nécessaires à chacun d entre eux. Table des matières Prérequis de PrestaConnect :...2

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Tests d intrusions dans un cadre formel

Tests d intrusions dans un cadre formel Tests d intrusions dans un cadre formel Introduction Qu est-ce qu un test d intrusion? Tests de vulnérabilité vs Tests d intrusion Règles d engagement Cadre d un test d intrusion Tests d'intrusion - Laurent

Plus en détail

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada

Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada Correction des systèmes d exploitation et des applications Bulletin de sécurité des TI à l intention du gouvernement du Canada ITSB-96 Dernière mise à jour : mars 2015 1 Introduction La correction des

Plus en détail

Présentation de la solution. OSSIR groupe Paris 15/06/2010

Présentation de la solution. OSSIR groupe Paris 15/06/2010 Présentation de la solution OSSIR groupe Paris 15/06/2010 Sommaire Introduction Information et menaces Contrôles VulnIT, concept et architecture Démonstration Avenir Conclusion 2 Introduction Vincent Maury

Plus en détail

les prévisions securité 2015

les prévisions securité 2015 les prévisions securité 2015 Panda Security Les prévisions sécurité 2015 du PandaLabs Selon les estimations du Pandalabs, les chiffres concernant la création de malware vont encore une fois battre des

Plus en détail

Comment choisir une suite de sécurité?

Comment choisir une suite de sécurité? Comment choisir une suite de sécurité? Alors que les menaces sur le web sont toujours bien présentes, un antivirus ou une suite de sécurité peuvent vous aider à surfer ou échanger plus tranquillement.

Plus en détail

La sécurité informatique du point de vue d un pirate. Société GRICS

La sécurité informatique du point de vue d un pirate. Société GRICS La sécurité informatique du point de vue d un pirate Par : Éric Ledoux Société GRICS Plan de la présentation Introduction Obligation légale Deux approches en sécurité Approche «corporative» Approche «pirate»

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation

Plus en détail

NEXT GENERATION APPLICATION SECURITY

NEXT GENERATION APPLICATION SECURITY NEXT GENERATION APPLICATION SECURITY FR UN MARCHÉ EN EXPANSION Le tournant du marché de la sécurité applicative. Dans le monde entier, les clients investissent dans la sécurité applicative pour faciliter

Plus en détail

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés Présentation Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés BÉNÉFICES Un accès à des informations plus précises qui permet une protection renforcée grâce à l analyse

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 IDS snort Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 1 Table des matières 1 Les différents IDS 3 1.1 Les NIDS (Network IDS ou IDS Réseau)..................... 3 1.2 Les HIDS (Host IDS ou IDS Machine)......................

Plus en détail

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques P. 1 Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques Goodies Les ANTIVIRUS Septembre 2013 Que valent les antivirus? P. 2 Attention

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

Introduction à la sécurité informatique Connaissances de base sur la sécurité informatique Les critères fondamentaux Domaine d application Menaces Critères fondamentaux Les solutions de sécurité doivent

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Gestion des e-mails par ELO

Gestion des e-mails par ELO >> La gestion du cycle de vie du courrier électronique comme La bonne décision pour aujourd hui et pour demain Les solutions de gestion du contenu d entreprise (Enterprise Content Management/ECM) de ELO

Plus en détail

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Notes de mise à jour Endpoint Security for Mac by Bitdefender Notes de mise à jour Date de publication 2015.03.13 Copyright 2015 Bitdefender Mentions Légales Tous

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D INFORMATION?

ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D INFORMATION? F O R M A T I O N H I G H L E V E L PROGRAMME ET METHODES RUSSES ET SI VOUS NE SAVIEZ PAS TOUT SUR LA SÉCURITÉ DES SYSTÈMES D IN? Ethical Hackers - Experts Sécurité I N F O R M AT I O N S E C U R I T Y

Plus en détail

LES BOTNETS : ACTEURS MAJEURS DE L OMBRE. Auteur Sébastien GOUTAL Responsable Filter Lab

LES BOTNETS : ACTEURS MAJEURS DE L OMBRE. Auteur Sébastien GOUTAL Responsable Filter Lab www.vade-retro.comlivre BLANC LES BOTNETS : ACTEURS MAJEURS DE L OMBRE Auteur Sébastien GOUTAL Responsable Filter Lab Janvier 2014 Index Introduction... 2 Naissance d un botnet... 3 Vie d un botnet...

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes 10 12 heures 3 jours plus d une semaine

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes 10 12 heures 3 jours plus d une semaine Quiz sur la sécurité: réponses et explications 1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes 10 12 heures 3 jours plus d une semaine Ce n est vraiment

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

API Win32 ancestrales pour Chevaux de Troie hyper furtifs

API Win32 ancestrales pour Chevaux de Troie hyper furtifs API Win32 ancestrales pour Chevaux de Troie hyper furtifs JSSI 2004 Eric DETOISIEN Eyal DOTAN Sommaire! Introduction! Modèle de Communication! Injection de Code! API Hooking! Démo finale! Evolutions Possibles!

Plus en détail

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

ATTAQUE DDOS SUR DES APPLICATIONS WEB

ATTAQUE DDOS SUR DES APPLICATIONS WEB CHAPITRE 4 : ÉTUDE DE CAS ATTAQUE DDOS SUR DES APPLICATIONS WEB 1 ATTAQUE DDOS SUR DES APPLICATIONS WEB ENSEIGNEMENTS DE L ÉTUDE DE CAS Mieux vaut mettre en place un dispositif de protection anti-dos/ddos

Plus en détail

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier 2014. www.vade-retro.com

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier 2014. www.vade-retro.com COMBATTRE LE PHISHING Auteur Sébastien GOUTAL Responsable Filter Lab Janvier 2014 LIVRE BLANC www.vade-retro.com Index Introduction... 3 Typologies du phishing et du spam... 4 Techniques de filtrage des

Plus en détail

Sauvegarde des données de l'utilisateur avec Kaspersky Cryptomalware Countermeasures Subsystem

Sauvegarde des données de l'utilisateur avec Kaspersky Cryptomalware Countermeasures Subsystem Sauvegarde des données de l'utilisateur avec Kaspersky Cryptomalware Les cybercriminels sont prompts à adopter les techniques développées par les criminels dans le monde réel, y compris en extorquant de

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Le Web 2.0 au cœur des menaces. Guillaume Girard 26 / 05 / 2009

Le Web 2.0 au cœur des menaces. Guillaume Girard 26 / 05 / 2009 Le Web 2.0 au cœur des menaces Guillaume Girard 26 / 05 / 2009 Le Web au cœur des menaces 2003 : 99% des codes malicieux étaient en attachement d emails malveillants. 2008 : 95% des emails malveillants

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

SOMMAIRE. 1. Les mises à jour 2. Les pare-feu 3. Typologie des virus 4. Les anti-virus

SOMMAIRE. 1. Les mises à jour 2. Les pare-feu 3. Typologie des virus 4. Les anti-virus 1 SOMMAIRE 1. Les mises à jour 2. Les pare-feu 3. Typologie des virus 4. Les anti-virus 2 LES MISES À JOUR 1/2 Windows étant une des cible des hackers, il est indispensable d effectuer les mises à jour

Plus en détail

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité

SecurActive NSS-500. Plateforme de Surveillance réseau et sécurité Plateforme de Surveillance réseau et sécurité Solution SecurActive NSS SecurActive NSS est une plateforme de surveillance réseau et sécurité basée sur un moteur d analyse innovant. SecurActive NSS capture

Plus en détail

Points forts : Amélioration de l efficacité des activités de marketing

Points forts : Amélioration de l efficacité des activités de marketing AUTOMATISATION DU MARKETING Le module d automatisation du marketing dans Microsoft Business Solutions Axapta vous offre une vue détaillée pour gérer des campagnes ciblées et personnalisées à travers tous

Plus en détail

Symantec Protection Suite Enterprise Edition for Servers

Symantec Protection Suite Enterprise Edition for Servers Une protection complète et de haute performance là où vous en avez besoin Présentation permet d'éviter les arrêts des serveurs physiques et virtuels grâce à une politique de prévention basée sur différentes

Plus en détail

Etude des outils du Cloud Computing

Etude des outils du Cloud Computing Etude des outils du Cloud Computing Sommaire : Présentation générale.. 2 Définitions. 2 Avantage.. 2 Inconvénients. 3 Types d offres de service Cloud.. 3 Comparaison des services Cloud 4 Conclusion 5 Présentation

Plus en détail

GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau

GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau GFI LANguard NSS v9 novembre 2008 Introduction GFI LANguard Network Security Scanner v9 : Une application complète pour la protection du réseau Distributeur pour le marché francophone des solutions GFI

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie étude de cas architecture et systèmes Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A

Plus en détail

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r Agenda Partie

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67

Plus en détail

Avira Professional Security Migrer vers Avira Professional Security version 2013. HowTo

Avira Professional Security Migrer vers Avira Professional Security version 2013. HowTo Avira Professional Security Migrer vers Avira Professional Security version 2013 HowTo Sommaire 1. Introduction...3 2. Migration via la console de gestion Avira (AMC)...3 3. Mise à jour manuelle d Avira

Plus en détail

Lumesse Avis d expert. Agile Learning Etes-vous prêt au changement?

Lumesse Avis d expert. Agile Learning Etes-vous prêt au changement? Lumesse Avis d expert Agile Learning Etes-vous prêt au changement? Dans l univers sans cesse mouvant de la Gestion des Talents, nous observons un nouveau changement fondamental en matière de développement

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Attention, menace : le Trojan Bancaire Trojan.Carberp! Protégez votre univers L aveugle ne craint pas le serpent Attention, menace : le Trojan Bancaire Trojan.Carberp! Attention, menace : le Trojan Bancaire Trojan.Carberp! Voici un exemple de contamination

Plus en détail

Sécurité et mobilité

Sécurité et mobilité LEXSI > SÉMINAIRE ARISTOTE "SÉCURITÉ & MOBILITÉ" 1 Sécurité et mobilité QUELQUES ERREURS CLASSIQUES OU REX SUITE À AUDITS 07/02/2013 lgronier@lexsi.com/ fverges@lexsi.com Agenda 2 La mobilité et les audits

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche Centre de Recherche sur l Information Scientifique et Technique Protection des Systèmes d Information: Aspects Juridiques Par Mme BOUDER Hadjira Attachée de Recherche Introduction La décentralisation des

Plus en détail

Table Ronde Cybersécurité

Table Ronde Cybersécurité 03 décembre 2013 Table Ronde Cybersécurité Comment les fournisseurs d automatismes prennent en compte les besoins de cybersécurité? Participants: Phoenix Contact T.Vajsman Rockwell Automation J.Poncharal

Plus en détail

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. Anne Mur cathy.noiret (à) edelweb.

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. Anne Mur cathy.noiret (à) edelweb. 1 RESIST 29/01/2008 Faits techniques et retour d'expérience d'une cellule d'expertise Cathy Noiret Anne Mur cathy.noiret (à) edelweb.fr anne.mur (à) edelweb.fr EdelWeb / Groupe ON-X Sommaire 2 I. Présentation

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique

La gestion Citrix. Du support technique. Désignation d un Responsable de la relation technique La gestion Citrix Du support technique. Désignation d un Responsable de la relation technique Dans les environnements informatiques complexes, une relation de support technique proactive s avère essentielle.

Plus en détail

IBM Managed Security Services for Web Security

IBM Managed Security Services for Web Security Description des services 1. Nature des services IBM Managed Security Services for Web Security Les services IBM Managed Security Services for Web Security («MSS for Web Security») peuvent inclure : a.

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail