Gestion de crise et APT

Dimension: px
Commencer à balayer dès la page:

Download "Gestion de crise et APT"

Transcription

1 EPITA Gestion de crise et APT L attaque de haut niveau Floriane ALIXE Claire GAGELIN Jonathan BUSCA Mathieu HARTHEISER Florent BACCI Baptistin BUCHET Julien MONBILLARD Romain VERIATO Louis VATIER dimanche 20 novembre 2011 Ce rapport présente les attaques dites APT (Advanced and Persistant Threads) et les menaces qui en découlent. Étant avant tout élaborées, ces attaques visent à corrompre le système d information d une organisation pour une longue duré afin de lui subtiliser des données dans une totale discrétion. Pour ce faire, les techniques utilisées sont nombreuses et complexes ; s'en protéger peut devenir énigmatique. Aujourd hui, un nombre important de grands groupes a déjà été victime de ce type d attaque.

2 Gestion de crise et APT Sommaire I. Executive Summary... 4 II. Préambule... 5 III. Introduction... 6 IV. Le piratage informatique Attaque informatique, définition et principes Le piratage, de sa naissance à nos jours Le marché de la cybercriminalité Cartographie des menaces mondiales a. Cartographie des serveurs C&C b. Principales attaques c. L origine des attaquants V. Advanced Persistent Threat Définition a. Advanced b. Persistent c. Threat APT et éléments techniques VI. Les techniques de contrôle Le serveur Command and Control Le Fast Flux Les serveurs bulletproof VII. Les techniques d intrusions et d infections La première intrusion Le vecteur d infection L expansion Récapitulatif des outils Conclusion... 20

3 VIII. APT : Cybercriminel vs entreprises Entreprises attaquées par une APT Des attaques de plus en plus complexes Les différents enjeux a. Attaquants - Moyens de mise en place de l attaque b. Attaque c. Conclusion IX. Conclusion X. Contexte du cas fictif XI. Scénario attaquant Phase de renseignement a. Cartographie des filiales b. Cartographie des employés BELLUS PAME c. Cartographie passive des équipements du SI de BELLUS PAME Attaque par Spear Phishing Détournement du Domain Controler Compromission de BELLUS Avionique XII. Détection de l attaque et gestion de crise Détection Analyse Planification Dégradation Nettoyage en profondeur et reprise XIII. L après crise XIV. Conclusion XV. Les 4 grands enseignements de cette simulation

4 I. Executive Summary By definition all computing attacks are prejudicial. Nevertheless they can differ in type and importance. The term Advanced Persistent Thread (APT) first appeared a few years ago when the following attacks occurred: GhostNet, Aurora, Bercy, RSA Security or Lockheed Martin. The expression designates a kind of attack with specific properties which is primarily aimed at companies or administrations, mainly located in more economically developed countries, where information is most highly valued. These attacks illustrate how cybercrime is quickly becoming more professional and organised. Indeed, the rapid rise in the creation of Web tools designed by hackers for everyone (Crimeware As A Service - CaaS) and the emergence of a black markets where high valued information can be easily exchanged: from the access of credit card numbers, to administrative access to servers, lists, Western Union, through to PayPal accounts. Advanced Persistent Threat (APT) is a specific type of attack and differs from all other cybercrime: Advanced: the attack is a complex one and one which requires a wide range of technological competences (social engineering, 0-day weakness, etc.) ; Persistent: This method enables one to benefit from system accesses both in the present and in the future. In other words, once a system has been accessed it can be easily re-integrated. Therefore, attacks have to be carried out in the most inconspicuous ways (use of root kits and of the fast flux technique) through several channels (use of various protocols) in order to avoid getting caught ; Threat: the aim of the attack is to steal valuable information. It is planned in advance and requires substantial resources and a real will from the attacker. From the virtual study it be concluded that: the organization undergoing the attack will not be able to know the real economical value of the stolen documents ; There is no guaranty of having removed all vectors of compromission from the information systems. It is consequently essential to study and analyse the systems behaviour to check whether valuable information is still be accessed ; the cost of a crisis of this magnitude is high because it can cause a temporary shutdown of businesses and thus jeopardize the organization's image. Its future is potentially called into question; one possible outcome would be bankruptcy and business closure. 4

5 II. Préambule L'étude de la chronologie historique des grandes attaques informatiques - précurseurs de la cybercriminalité - permet de découvrir et poser le contexte qui entoure le monde de la sécurité SI d'aujourd'hui. Elle permet de montrer l évolution d'une piraterie non négligeable et de constater l'installation progressive d'un véritable marché noir apportant de nombreux "business" pour les plus nécessiteux. La présentation d un scénario d'attaque et de défense fictif mais réaliste, permet de mieux percevoir les conséquences désastreuses qu'une APT peut engendrer ; l'avant, le pendant et l'après crise, provoquée par une telle offensive, peuvent alors être étudiées avec plus de simplicité. Une telle approche permet l'explication simple et concrète de ce qu est une APT et permet de lier théorie et pratique en une unique démarche. 5

6 Gestion de crise et APT III. Introduction L'évolution des technologies numériques est telle que celles-ci sont devenues omniprésentes, créant ainsi une nouvelle dimension dans notre monde : le cyberespace. Les conséquences matérielles et humaines de son exploitation peuvent-être importantes. C'est pourquoi il convient de le maitriser au mieux pour en faire une source de progrès et de croissance. Cette maitrise ne peut exister que par un ordre définit et le respect de cet ordre. Ainsi, la législation du cyberespace a vu le jour. Cependant, toute forme de législation induit des comportements déviants. La cybercriminalité représente les délits liés à l'utilisation des technologies numériques. Son développement étant croissant, les attaques informatiques dont elle est à l'origine se multiplient également. Si toutes les attaques informatiques sont préjudiciables, il en existe de tout genre et de toute gravité. Ainsi, depuis quelques années, le terme APT a vu le jour. Il caractérise une forme d attaque informatique visant des propriétés particulières et dirigées contre des entreprises ou administrations. Cette partie a pour objectif d'analyser le contexte d'évolution d'une APT et ses caractéristiques. Dans un premier temps, il est donc essentiel d'étudier plus précisément l'origine de ce type d'attaque : la cybercriminalité. La deuxième partie de cette analyse vise à définir clairement une APT, à travers ses particularités et son anatomie technique, la distinguant d'un autre type d'attaque informatique. Ils représentent des menaces pour les entreprises ou administrations qu'il est essentiel de qualifier pour cette étude. Ainsi, la deuxième partie traitera de ces menaces en définissant d'une part les différents types de menaces possibles et d'autre part en qualifiant ces menaces à l'aide d'une pondération. Enfin, les caractéristiques et les objectifs d'une APT ne suffisent pas à définir ce type d'attaque. Ainsi, cette étude ne saurait être complète sans définir la cible d'une APT. C'est pourquoi les enjeux d'une APT seront développés en dernière partie. Celle-ci sera complétée par quelques exemples sommaires pour étayer les propriétés d'une APT décrit dans toute cette partie. 6

7 IV. Le piratage informatique 1. Attaque informatique, définition et principes Une attaque informatique est l'exploitation d'une faille, d une mauvaise configuration d'un système informatique (système d'exploitation, logiciel, etc.) ou l utilisation frauduleuse d un secret à l insu de son propriétaire et à des fins souvent préjudiciables. Réaliser ce type d attaque porte un nom connu de tous : le piratage informatique. Des attaques informatiques ont lieu en permanence sur Internet ; on en compte plusieurs centaines par minutes. Elles peuvent être de multiples natures (virus, cheval de Troie, attaque de masse, etc.) et se réalisent, la plupart du temps, de manière totalement transparente. Malgré le risque pénal, les motivations des attaquants sont nombreuses : voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ; récupérer des données bancaires ; s'informer sur une organisation (utilisateurs, activités, etc.) ; utiliser les avantages des ressources d un système informatique (bande passante, etc.) ; utiliser le système comme un «rebond 1» pour une attaque sur un autre système. Les manières d attaquer sont nombreuses, pour peu qu'il existe une vulnérabilité exploitable. Ces dernières peuvent être catégorisées comme suit (liste non exhaustive) : Accès physique : l'attaquant réussi à obtenir un accès aux locaux de l entreprise et dans le pire des cas, aux machines informatiques souhaitées. Exemple : coupure de l'électricité, ouverture du boîtier de l'ordinateur et vol de disque dur, vandalisme, piégeage logique ou matériel, etc. Interception de communications : l attaquant réussi à se placer entre deux communicants et écoute ce qu il se passe. Exemple : espionnage (MITM), détournement ou altération de messages, etc. Dénis de service : attaques visant à perturber le bon fonctionnement d'un service. Exemple : inondation de requêtes HTTP sur un serveur web par de nombreuses machines (DDoS), inondation de requêtes TCP/IP sur un réseau d entreprise pour le saturer, etc. Social engineering : l attaquant utilise la faille humaine ; il trouve de l information en communiquant directement avec l utilisateur ou plus récemment, sur les réseaux sociaux. Exemple : l attaquant envoie un en se faisant passer pour un collègue de travail et demande le mot de passe de l Intranet. 1 Principe des serveurs C&C, vu dans la partie XX. 7

8 Backdoor : il s'agit d'une porte dérobée dissimulée dans un logiciel, permettant un accès ultérieur à son concepteur. Exemple : mot de passe inscrit en dur dans le code permettant d accéder à une application, fonctionnalité cachée permettant d exécuter des commandes. 2. Le piratage, de sa naissance à nos jours Avant les ordinateurs, les phreakers C est au début des années soixante, en pleine révolution sociale américaine, que le phreaking est apparu. Diminutif de freak, free et phone (i.e. «les mordus du téléphone gratuit»), le phreaking est une pratique de piratage du système téléphonique permettant d effectuer gratuitement des appels interurbains. Cette technique est connue comme le premier piratage technologique. Les naissances des ordinateurs personnels En 1975, prit naissance le Homebrew Computer Club à Menlo Park en Californie. Ce club avait pour but de déplacer l ordinateur des laboratoires et entreprises pour le mettre à disposition du grand public. Deux membres du Club se démarquèrent rapidement et finir par former Apple Computers et le fameux Apple I. Peu de temps après, Apple, IBM ainsi que des centaines d'autres petites et moyennes entreprises mirent sur le marché les premiers micro-ordinateurs. C'est donc à cette époque que la communauté «hackers» s est développée. Une des toutes premières actions dans ce domaine a visé l école Polytechnique avec le piratage de Cray One 2, en Les piratages qui ont marqué ces 40 dernières années C est en 1983 que Kevin MITNICK, jeune étudiant de l époque, réussit à rentrer pour la première fois de l histoire, dans le système informatique du Pentagone. Après avoir récupéré un accès à ARPANet 3 grâce à un ordinateur déjà connecté au réseau, MITNICK réussit à trouver un point d entrée et s introduit ainsi sur le réseau interne du Pentagon pour y dérober des informations de la plus haute importance. En 1987, Kevin MITNICK et son ami Lenny DiCicco, arrivent à s introduire sur le réseau interne du laboratoire de recherche de la Digital Equipment Corporation (DEC). MITNICK innove cette fois-ci en réussissant à brouiller la totalité des traces laissées derrière lui. Les autorités ont donc eu beaucoup de mal à remonter jusqu à lui. En 1988, Robert TAPPAN MORRIS, aujourd hui professeur au Massachusetts Institute of Technology (MIT), a créé le tout premier ver d Internet. Le concept d un ver est quelque peu différent du piratage classique : plutôt que de s introduire soi-même sur un réseau, c est un programme qui se charge de faire le travail. 2 Ordinateur le plus puissant de l époque, d une valeur d environ 70 millions de Francs. 3 Ancêtre d Internet utilisé par l armée, les entreprises et les grandes universités. 8

9 Ce premier ver, intitulé «le ver Morris», a infecté plusieurs milliers d ordinateurs en quelques heures et a engendré une facture de réparation approchant les $ par infection. En 1994, Vladimir LEVIN devient la première personne à utiliser le piratage informatique pour gagner de l argent. Pour ce faire, il s est infiltré sur le réseau interne de la banque américaine Citibank. Il a piraté la connexion analogique de la banque et s est offert un accès à plusieurs comptes. C est de cette manière qu il est parvenu à transférer la somme de 10,7 millions de dollars vers des comptes aux Etats-Unis, en Finlande, en Allemagne, en Israël et en Hollande. D autres manières de pirater sont arrivées au fur et à mesure. En effet, Jon JOHANSEN s est par exemple penché sur la question de contourner les protections de CD, DVD et autres fichiers numériques. Le piratage des jeux-vidéos, des films et surtout de la musique est donc arrivé dès les années 90. Un phénomène en évolution Avec la démocratisation d Internet, les pirates sont aujourd hui plus nombreux que jamais. Toutefois, le nombre de grandes attaques ne semble pas connaître une telle explosion. Le mouvement a pris une direction quelque peu différente de celle empruntée auparavant. En effet, depuis plusieurs années, les experts en sécurité doivent faire face à de nouvelles menaces, moins ponctuelles, moins virulentes mais beaucoup plus massives et critiques. Les pirates n agissent plus seul et envers les entreprises mais semblent se rassembler et s attaquer à l échelle des pays. Ce phénomène peut ainsi être caractérisé par l arrivée des botnets (réseaux composés de plusieurs milliers de machines hébergeant, à l insu de leur propriétaire, un programme permettant la réalisation de diverses actions malveillantes). Les plus connus portent un nom ; on y trouve TDL, RogueAV, Zeus, Monkif ou encore Koobface. Tous représentent aujourd hui des millions d ordinateurs infectés dans les quatre coins du monde permettant de multiples attaques massives. Cette évolution se traduit aujourd hui avec l apparition de deux phénomènes. Tout d abord, il y a une structuration de la cybercriminalité à l instar du trafic de drogue et autre mafia. Des organisations exploitent les failles informatiques pour créer un marché et faire fortune. Ainsi, il est à noter l émergence du CaaS : Crimeware as a Service. Des outils ou des services sont mis à disposition de tout un chacun permettant à tout le monde, y compris ceux n ayant pas de compétence technique particulière, de commettre des actes de piratage. Le signe le plus distinctif de ces deux phénomènes intrinsèquement liés est l émergence et l ouverture à tous des sites de «Black Market». 9

10 3. Le marché de la cybercriminalité Les termes de «marché noir de la cybercriminalité» sont apparus au même moment qu une large opération de démantèlement (i.e. l opération «Firewall») menée en 2004, par les services secrets américains. Cette dernière a permis de dévoiler au public les premières informations sur ce nouveau marché en ligne. Vingt-huit membres principaux du ShadowCrew, une communauté en ligne d environs cybercriminels, ont finalement été arrêtés pour avoir été à l'origine de l'envoi de milliers de messages de phishing ainsi que du piratage de réseaux d'entreprises. Les informations dérobées étaient alors échangées sur Internet, aux enchères, formant ainsi l un des tous premiers marchés noir de la sorte. Depuis, de nombreuses communautés de fraude en ligne se sont créées, émergeant tout d abord sur le réseau IRC (Internet Relay Chat). Au sein de ces communautés, les cybercriminels vendent leurs services, échangent des conseils et se partagent des informations. Pour les attaques groupées qu ils orchestrent, certains se partagent les tâches et ne réalisent donc pas les attaques de A à Z ; ils comptent en effet sur d'autres membres de la communauté pour finir ou continuer le travail. Toutes les attaques, menées à bien, offrent différents types de marchandises pouvant, a posteriori, être échangées ou vendues au travers de forums en ligne tout comme un site e-commerce pourrait le proposer légalement. Voici une liste non exhaustive de ce qui est proposé aujourd hui, sur le marché noir de la cybercriminalité : numéros de cartes de crédit ; accès administratif aux serveurs ; listes d'adresses électroniques ; comptes de services de paiement en ligne ; fausses devises ; comptes Western Union, Paypa, etc. 10

11 4. Cartographie des menaces mondiales a. Cartographie des serveurs C&C4 En récupérant une liste de domaines compromis par des logiciels malveillants, il est possible de corréler ces résultats sur une «Google Map» grâce aux différentes API existantes. Une grande quantité de serveurs C&C est aux Etats-Unis, en Europe et en Chine principalement. Il y en a également en Afrique subsaharienne, au Moyen-Orient, en Australie, au Japon et en Russie. De cette cartographie, résulte le constat selon lequel les grandes puissances économiques possèdent sur leur territoire, la majorité des serveurs compromis permettant de contrôler des attaques à distance à travers la planète. 4 Source :http://www.malwaredomainlist.com/mdl.php?inactive=&sort=ip&search=&colsearch=all&ascordesc=desc&quanti ty=50&page=0 11

12 b. Principales attaques 5 Cette carte rassemble les principales cibles d attaques de ces dernières années (de 1999 à aujourd hui). Il convient de constater que les attaques s orientent principalement vers les États-Unis et l Europe même si la Chine et le Moyen-Orient sont aussi visés, pays industriels et économiquement développés. Les attaquants les visent naturellement car ces cibles lui permettent de maximiser ses gains illégitimes. Cette carte reflète aussi par extrapolation le climat politique qui règne aujourd hui entre les différents états, et la course vers la première place économique mondiale. Tout est bon pour déstabiliser son adversaire, jusqu à dérober des informations confidentielles pour prendre de l avance. 5 Source : https://www.google.com/fusiontables/datasource?dsrcid=930451&search=web&cd=1 12

13 c. L origine des attaquants 6 Ce dernier planisphère regroupe les principales zones géographiques sources d attaque de 1999 à aujourd hui. Ces attaques sont donc lancées majoritairement depuis l Europe, le Moyen- Orient et la Chine. Les États-Unis, le Brésil et la Russie sont aussi des sources d attaques. Cette observation, confirme bien le fait que les attaques majeures sont menées depuis des pays faisant partie des grandes puissances industrielles et économiques de ce monde. 6 Source : https://www.google.com/fusiontables/datasource?dsrcid=930451&search=web&cd=1 13

14 V. Advanced Persistent Threat 1. Définition Les Advanced Persistent Threat sont une nouvelle forme d'attaque définie il y a seulement quelques années par les professionnels de la sécurité. Ces attaques sont très symptomatiques d'un monde où la cybercriminalité se professionnalise et où l'on s'éloigne de plus en plus du hacker solitaire à la recherche du simple défi technique. Les APT sont un type de menace précis et se distingue de toutes autres attaques cybercriminelles de par les trois critères qui forme son acronyme : a. Advanced Par définition, une APT fait appelle à des techniques qui ne sont pas à la portée de tout cybercriminel. Ce qui fait qu'une attaque peut être qualifiée "d'avancée" est le fait de faire appel à un large éventail de techniques pour parvenir à ses fins. Lors d'une telle attaque, des vulnérabilités connues peuvent être utilisées, mais dans le cas où celles-ci ne suffiraient pas, des vulnérabilités spécifiques de type 0-day peuvent être exploitées spécialement pour l'attaque. Les techniques de social engineering viennent compléter cet éventail de solution. Ces attaques sont le plus souvent effectuées après une phase de collecte de renseignements qui sert à connaitre les faiblesses de la cible et ainsi établir un plan détaillé du déroulement de l'attaque. b. Persistent Le but d'une APT n'est pas d'obtenir des renseignements de manière ponctuelle. En effet, pour qu'une attaque soit qualifiée d'apt celle-ci se doit d'être persistante, c'est à dire de maintenir un accès à la source d'information que l'on souhaite obtenir le plus longtemps possible et tout entreprendre pour revenir si elle venait à être supprimée du SI. Cela implique de porter un soin tout particulier au code malveillant qui va extraire les données. Il ne doit pas être détecté sous peine de se faire désactiver. L'envoi des données doit donc passer inaperçu. De plus, le code en lui même doit être indétectable. Pour cela, il est presque indispensable de bénéficier d'une capacité de maintenance à distance afin d'outrepasser la sécurité des antivirus. De plus, en cas de détection du code malveillant l'attaque doit pouvoir se poursuivre. Pour cela, plusieurs canaux d'extractions sont en général prévus. Ainsi, si l'un d'eux est détecté l'extraction peut se poursuivre en activant un autre canal. Dans le cas extrême où tous les moyens de l'attaquant seraient désactivés, une nouvelle attaque peut alors être menée afin de reprendre le contrôle des données ciblées. Il peut utiliser à cette fin des vulnérabilités qu il aura identifiées au préalable, mais qu il n aura pas exploitées. 14

15 c. Threat La conjonction des deux critères précédents faits de l'apt une menace très sérieuse. L'entité menant une telle attaque a à la fois les capacités de réaliser une offensive techniquement avancée, mais elle montre également une forte volonté de parvenir à ses fins en engageant les moyens nécessaires. Ce qui caractérise donc cette menace est qu'elle est avant tout ciblée, elle contraste donc avec le hacking opportuniste qui consiste à rechercher un type de vulnérabilité précis et à passer son chemin si la vulnérabilité en question n'est pas présente. Cette menace se distingue aussi de celles provoquées par les hacktivistes ou les hackers en quête de notoriété, qui eux vont chercher à médiatiser leurs exploits. La menace ici se doit d'être invisible. En effet, c'est le fait de passer inaperçu qui va permettre aux attaquants de pouvoir maintenir un accès prolongé dans le temps à la source d'informations ciblée. Les APT sont donc un type d'attaque réalisée par un organisme ou un groupe de personnes qui a à la fois la capacité et l'intention d'attaquer une cible précise. Cette attaque est coordonnée par des moyens humains plutôt que par l'exécution automatique d'un quelconque malware. L'attaque est organisée par des personnes qualifiées qui ont la motivation nécessaire afin d'atteindre leur objectif. 2. APT et éléments techniques Les techniques utilisées dans le cadre d une APT sont assez proches de celles utilisées dans les botnets. Elles sont toutefois plus élaborées, et ciblées vers une entité spécifique, généralement de grande taille, et dont l objectif est de prendre le contrôle partiel ou total de son système d information. Le but n est pas l infection en masse mais l infection ciblée. Afin de permettre à l intrusion de durer le plus longtemps possible, les auteurs utilisent toute une gamme d outils permettant à la fois de cacher l infection et de ne pas être identifiés en cas de découverte de l APT. VI. Les techniques de contrôle 1. Le serveur Command and Control La technique la plus courante est celle dite du «Serveur Command and Control». C est un serveur relais qui reçoit les commandes de l auteur de l intrusion, et les transmet aux agents présents dans le réseau d ordinateurs compromis, appelés zombis. Le serveur C&C n appartient généralement pas aux auteurs de l attaque, mais à lui-même été compromis au préalable et rend donc la remontée jusqu aux auteurs plus difficile. 15

16 Ce serveur peut utiliser une vaste gamme de protocoles de communication pour dialoguer avec les agents d infection, en fonction des flux autorisés par le firewall. On trouve ainsi des flux HTTP et HTTPS, mais également des protocoles divers tels que MSN, FTP, ou encore des moyens plus subtils tels que DNS ou NTP, difficilement contrôlables. Il y a souvent plusieurs serveurs C&C, dont la liste est maintenue et envoyée régulièrement aux agents. L objectif est d éviter que la «perte» d un serveur C&C ne soit préjudiciable à l attaque. De plus, les serveurs C&C varient fréquemment afin de diminuer les traces grâce à différentes techniques, notamment le Fast Flux. 2. Le Fast Flux Le changement fréquent de serveur se fait grâce aux DNS, et à la technique dite du «Fast Flux». Cette technique se déploie en plusieurs phases. La première est de constituer un petit botnet, d une centaine de machines, qui vont agir comme reverse proxy vers les serveurs C&C. L objectif est ici de masquer l adresse IP réelle des serveurs C&C, de manière à cacher leur existence. Pour accéder à ce botnet, l attaquant va configurer un serveur DNS qu il aura compromis 7 de telle sorte qu il délivre aléatoirement l IP d un des membres du botnet, avec un TTL (time to live) très court. L objectif est que l adresse IP utilisée change constamment, rendant ainsi difficile la consolidation des logs pour les administrateurs. Figure 1 : Dig sur un serveur C&C de ZeuS qui utilise la technique du Fast Flux 7 Possibilité d héberger également dans un pays disposant d une législation laxiste en matière de piratage informatique. 16

17 Enfin, les agents infectieux et le serveur C&C utilisent le reverse proxy de n importe lequel des membres du botnet pour dialoguer et s échanger des instructions. De par leur grand nombre, la perte d un membre du botnet n est pas préjudiciable, occasionnant au pire une latence de quelques secondes le temps de passer sur un autre membre. 3. Les serveurs bulletproof Afin de disposer d une infrastructure, les attaquants se fournissent parfois chez des prestataires de serveurs «Bulletproof». C est un ensemble de services qui est vendu par des hébergeurs peu regardant envers les pratiques de leurs clients. Ils ne répondent pas aux injonctions de la justice ou ralentissent les demandes légales, et «couvrent» ainsi leurs clients en échange d un coût supplémentaire. Un exemple de prestataire Bulletproof dédié au spam. On observe la mention «We guarantee your site will not get shut down». 17

18 En plus de cette protection, le fournisseur de Bulletproof fourni en général un Fast Flux permettant de cacher le serveur, ainsi qu une infrastructure de haute disponibilité permettant de garantir la présence permanente du serveur en ligne. Ils disposent également de protections contre les tentatives d intrusions, ainsi que de systèmes de surveillance avancée de leur réseau. VII. Les techniques d intrusions et d infections L infection se fait en profondeur : il s agit pour l auteur de l APT d étendre progressivement son contrôle aussi largement que possible sur le SI de l entreprise, si possible en atteignant les emplacements de documents importants ou le contrôle de systèmes stratégiques. 1. La première intrusion La première intrusion n a pas vraiment de cible précise. Les cibles peuvent être des administrateurs ou de simples utilisateurs, attaquées la majeure partie du temps via des méthodes de social engineering dans un premier temps afin de mettre en place une backdoor. Même si n importe quel utilisateur peut servir de vecteur d intrusion, les administrateurs du SI restent tout de même les cibles prioritaires. L objectif de l attaquant est de connaître au maximum sa victime afin que celle-ci ne soit pas sur ses gardes lors de l infection. Pour cela, il utilise en général des outils permettant de faciliter le social engineering sur sa victime. Il pratique l analyse des réseaux sociaux, observe les habitudes de sa cible et acquiert un maximum d informations publiques sur elle. Par exemple, le logiciel Maltego permet de regrouper toutes les informations possibles sur une personne et de les compiler de manière à obtenir un profil complet. 2. Le vecteur d infection L intrusion dans le SI n utilise en général pas de techniques très sophistiquées. La majeure partie du temps, il s agit d exploiter une vulnérabilité non corrigée dans les outils du poste de travail, comme une vulnérabilité dans Adobe Reader, dans Flash ou encore grâce à des macros Office. Mais il existe tout de même un éventail assez large de techniques telles que : récupération des hash des mots de passe de comptes administrateurs dans le processus lsass.exe (Local Security Authority Subsystem), si l attaquant est administrateur du poste de travail ; élévation locale grâce à une faille 0-day dans le noyau ou dans un service ; récupération du mot de passe administrateur dans un script présent sur le poste de travail ; détermination des mots de passe des des comptes administrateurs du domaine par «bruteforce» ; exploitation de failles système distantes, par exemple, la faille MS (NET API). 18

19 L attaquant envoie par exemple un document par à sa cible, qui aura été préparé spécifiquement pour celle-ci grâce au social engineering. Une fois le document ouvert, le poste de la cible est compromis et constitue un point d entrée dans le SI. Le premier objectif de l attaquant sera alors de sécuriser son point d entrée. Il lui faut ainsi camoufler l infection, en utilisant en général un rootkit (s il est administrateur du poste de travail) qui masquera sa présence face aux antivirus. 3. L expansion Une fois le point d entrée sécurisé, l objectif sera alors d augmenter la zone du SI contrôlée. L auteur de l APT va en général utiliser des techniques tels que les keyloggers et l analyse du contenu du poste de travail, ainsi qu une analyse discrète du réseau, afin d obtenir des informations lui donnant un accès légitime sur d autres postes. S il a obtenu l accès à un poste d administrateur, son objectif principal sera de prendre le contrôle de l Active Directory de l entreprise. Pendant toute cette progression, l attaquant doit prendre soin de ne pas être repéré par les administrateurs tout en augmentant la zone sous son contrôle. Pour cela, son objectif sera d obtenir un accès légitime dès que possible, afin que ses opérations passent pour des accès normaux. Il est donc très important de ne pas observer que les flux «illégaux», mais aussi ceux qui semblent émaner d utilisateurs légitimes. 4. Récapitulatif des outils Intrusion Camouflage Communication Expansion Faille 0day Rootkits Serveur C&C Keylogger Social engineering Fast flux Protocoles variés Poste (HTTP, HTTPS, IRC...) administrateurs Hébergement Bulletproof Active directory des 19

20 5. Conclusion Les techniques utilisées dans une APT ne sortent pas de l ordinaire. Il s agit des mêmes méthodes que celles employés au quotidien par des cybers escrocs pour le spam, le DDOS, les infections en masse ou encore l acquisition de données marketing. Les outils sont simples, et ciblent chacun une tâche bien précise. Néanmoins, ce ne sont pas les outils qui constituent une APT, mais leur utilisation en commun par un groupe d individus ayant une cible précise. De ce point de vue, l APT est donc une attaque dont la complexité provient de l agencement et de l exploitation de combinaisons de plusieurs techniques simples et l utilisation de techniques plus avancées (faille 0-day), qui permettent de donner à l attaquant un avantage important, à savoir celui de l utilisation de techniques bien maîtrisées et de techniques non connues. Le meilleur moyen de se prémunir contre une APT reste donc de se prémunir contre chacun de ces outils individuellement. Ils constituent autant de failles dans le SI qui peuvent certes être exploitées pour une attaque en masse, sans cible, mais également pour une attaque ciblée et donc beaucoup plus efficace. 20

21 VIII. APT : Cybercriminel vs entreprises 1. Entreprises attaquées par une APT Les tableaux suivants reprennent les caractéristiques principales (documents visés, nombre de machines infectées, etc) des APT les plus connues dans l optique d identifier les points communs et les divergences. Nom usuel GhostNet Night Dragon Aurora Date de début 22 mai 2007 Novembre 2009 Début Décembre 2009 Date de détection Mars 2009 Début Janvier 2010 Pays 103 pays (Taiwan, Etats-Unis, Vietnam, ) Etats-Unis Etablissement(s) - Ambassades - Ministères des affaires étrangères - Organisations non gouvernementales Entreprises des secteurs de l énergie: (Exxon Mobil, Royal Dutch Shell, BP, etc) Plus de 30 entreprises Américaines : Google, Adobe et bien d autres Documents visés - Documents administratifs de très forte valeur - Documents privés du Dallai Lama Cartes topographiques informatisées confidentielles qui montrent les emplacements de réserves pétrolières potentielles - Documents couverts par le droit sur la propriété intellectuelle - Comptes Google des militants des droits humains Vecteurs d attaque Cheval de Troie (Gh0st RAT*) -MS Windows - RATs* «zwshell», «Gh0st RAT» et «Poison Ivy» - Injections SQL - Vuln. MS - Pas d utilisation de faille 0-day - Faille 0-day dans MS Internet Explorer 6 à 8 - Vuln. Adobe Reader Nombre de machines compromises > 1300 dans 103 pays (principalement Taiwan, Etats-Unis, Vietnam et Inde) Contre mesures Chez MS : - Audit d Internet Explorer - Sortie d une MAJ Origine supposée Hainan, Chine (démenti) Beijing, Chine (démenti) Chine (démenti) 21

22 Nom usuel Bercy RSA Security Lockheed Martin Date de début Décembre 2010 Date de détection Début Janvier 2011 Mars mai 2011 Pays France Etats-Unis Etats-Unis Etablissement(s) Ministère de l Economie et des Finances Documents visés Dossier sensibles de la présidence française du G20 RSA Security : entreprise américaine spécialisée dans la sécurité informatique «Two-factor tokens», graines servant à la génération de codes pseudo-aléatoires utilisés dans l authentification SecurID utilisés par plus de clients Lockheed Martin, 1 er sous-traitant du Pentagone : employés, $45 milliard de CA Informations critiques sur les avions de combats F-22 et F-35 Vecteurs d attaque Nombre machines compromises Contre mesures de Cheval de Troie dans un PDF 150 machines - 20 à 30 personnes de l ANSSI* ont travaillé jour et nuit pendant 2 mois [Source : Paris Match] - Maintenance de postes de travail - Revoir les politiques de sécurité et audit des systèmes d informations de Bercy - Utilisation des tokens SecurID volés a RSA Security - Social Engineering Origine supposée Chine ou Asie Chine? Russie? * RAT : Remote Access Trojan * ANSSI : Agence Nationale Sécurité Système d Information * MS : Microsoft 22

23 2. Des attaques de plus en plus complexes Les voleurs d informations n hésitent plus à attaquer d abord un fournisseur de solutions de sécurité pour ensuite mener à bien des attaques contre ses clients comme le montre l attaque de Lockheed Martin (mai 2011) après l intrusion dans le système d information de RSA Security (mars 2011). Il est avéré que Lockheed Martin utilisait la solution d authentification de RSA Security «SecurID» qui, rappelons-le, est une solution d authentification forte utilisée par les sociétés les plus prudentes au monde. Suite à l annonce par RSA Security dans une lettre ouverte du 21 mars de la compromission de leur système d information et du vol de tokens directement utilisés dans leur solution SecurID, Lockheed Martin n a pas jugé nécessaire de changer de solution d authentification et s est retrouvé attaqué a son tour. Les attaquants s étant servis des clés pour signer le malware et donc le faire passer pour une donnée légitime. On rappellera donc l importance des fournisseurs et plus particulièrement des fournisseurs de solutions de sécurité dans la sécurisation d un système d information. 3. Les différents enjeux Durant le déroulement d une attaque de type APT réalisée par un groupe d attaquants sur une entreprise, différents points sont mis en jeu, représentant les possibles gains ou pertes pour chacune des deux parties. Cette partie permettra de donner une vision globale, schématique et simple des enjeux que représente l APT pour les deux parties concernées. On peut distinguer des enjeux différents dans la phase amont de l attaque. Pour les attaquants il s agit de réunir des moyens pour la réalisation d une APT. Pour l entreprise n ayant pas conscience d une attaque, d avoir des moyens de s en protéger. À partir du moment où l APT a commencé, l objet de l attaque est le même pour les deux parties, l information sensible, mais les positions sont opposées: ce que l entreprise peut perdre et ce que le groupe de malfaiteur peut gagner sur le court et long terme. 23

Les attaques APT Advanced Persistent Threats

Les attaques APT Advanced Persistent Threats Les attaques APT Advanced Persistent Threats Forum 2011 David TRESGOTS Cert-IST Sommaire APT : De quoi parle-t-on? En quoi les APT diffèrent-elles des autres attaques? Est-ce vraiment nouveau? Pourquoi

Plus en détail

Les infections informatiques

Les infections informatiques Initiation à la sécurité 1/ 9 Les infos contenues dans cette page proviennent du site Pegase-secure à l'adresse ci-dessous. http://www.pegase-secure.com/definition-virus.html LES VIRUS INFORMATIQUES Cette

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

L anonymisation des botnets soulève de nouveaux problèmes de sécurité.

L anonymisation des botnets soulève de nouveaux problèmes de sécurité. L anonymisation des botnets soulève de nouveaux problèmes de sécurité. Bien que les botnets, de grands réseaux d ordinateurs compromis gérés par des pirates à partir d un serveur de commande et de contrôle

Plus en détail

NETTOYER ET SECURISER SON PC

NETTOYER ET SECURISER SON PC NETTOYER ET SECURISER SON PC NETTOYER Pourquoi nettoyer son PC? Pour gagner de la place sur votre disque dur Pour accélérer son fonctionnement Pour supprimer tous les logiciels et fichiers inutiles ou

Plus en détail

I INTRODUCTION II LE PHISHING

I INTRODUCTION II LE PHISHING I INTRODUCTION Ce premier chapitre a pour but de donner les différents concepts de base du monde du phishing ainsi que leurs définitions respectives. Nous commençons par les définitions. Le phishing, ou

Plus en détail

Club des Responsables d Infrastructures et de la Production

Club des Responsables d Infrastructures et de la Production Club des Responsables d Infrastructures et de la Production LA BRIGADE D ENQUÊTES SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION Intervention du Commissaire Divisionnaire Anne SOUVIRA Le 19 mars 2014

Plus en détail

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux

Plus en détail

Prévenir les Risques liés à l usage d Internet dans une PME-PMI

Prévenir les Risques liés à l usage d Internet dans une PME-PMI Prévenir les Risques liés à l usage d Internet dans une PME-PMI Définition protocole Un protocole est un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation

Plus en détail

FORMATION PROFESSIONNELLE AU HACKING

FORMATION PROFESSIONNELLE AU HACKING FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST 2012. Industrie Services Tertiaire

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST 2012. Industrie Services Tertiaire Retour d expérience sur les investigations d attaques APT David TRESGOTS 13 juin 2012 Forum Cert-IST 2012 page 1 Sommaire Petits rappels au sujet des APT Attaque APT : Scénario «type» Investigation d une

Plus en détail

VISION : MULTILAYER COLLABORATIVE SECURITY *

VISION : MULTILAYER COLLABORATIVE SECURITY * VISION : MULTILAYER COLLABORATIVE SECURITY * COORDONNER LES SYSTÈMES DE PROTECTION POUR ÉLEVER LE NIVEAU DE SÉCURITÉ GLOBALE ET RÉPONDRE AUX ATTAQUES LES PLUS ÉVOLUÉES * La sécurité collaborative multi-couches

Plus en détail

Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com

Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com OSSIR - RéSIST - Avril 2009 Philippe Bourgeois Plan de la présentation L année 2008 du Cert-IST en 3 chiffres clés Les phénomènes majeurs

Plus en détail

1: Veille sur les vulnérabilités et les menaces

1: Veille sur les vulnérabilités et les menaces Evolution des failles et attaques Bilan de l année 2012 www.cert-ist.com Mars 2013 Philippe Bourgeois Plan de la présentation 1) Veille sur les vulnérabilités et les menaces 2) Evénements majeurs de 2012

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI)

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) Dernière version du 02 Septembre 2014 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales

Plus en détail

Les menaces informatiques

Les menaces informatiques Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une «attaque» est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Dans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des Malwares. Hamdi Tbourbi (RT4)

Dans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des Malwares. Hamdi Tbourbi (RT4) Dans le cadre de SECURIDAY 2010 Et sous le thème de Computer Forensics Investigation SECURINETS Vous Présente l atelier : Analyse des Malwares Chef Atelier : Hamdi Tbourbi (RT4) Asma DHAYA (RT5) Salmen

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

Solutions McAfee pour la sécurité des serveurs

Solutions McAfee pour la sécurité des serveurs Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez

Plus en détail

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates! Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des

Plus en détail

Les botnets: Le côté obscur de l'informatique dans le cloud

Les botnets: Le côté obscur de l'informatique dans le cloud Les botnets: Le côté obscur de l'informatique dans le cloud Par Angelo Comazzetto, Senior Product Manager Les botnets représentent une sérieuse menace pour votre réseau, vos activités, vos partenaires

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

Introduction aux antivirus et présentation de ClamAV

Introduction aux antivirus et présentation de ClamAV Introduction aux antivirus et présentation de ClamAV Un antivirus libre pour un système libre Antoine Cervoise ClamAV : http://www.clamav.net/ Plan Le monde des malwares Historique Les logiciels malveillants

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

Rewics (04 mai 2011) - Atelier : «L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé?». The Dark Side Of The

Rewics (04 mai 2011) - Atelier : «L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé?». The Dark Side Of The Rewics (04 mai 2011) - Atelier : «L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé?». The Dark Side Of The Cloud. Robert Viseur (robert.viseur@cetic.be) Qui suis-je?

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

NETTOYER ET SECURISER SON PC

NETTOYER ET SECURISER SON PC NETTOYER ET SECURISER SON PC Ou comment assurer une longue vie à son ordinateur Lors de l utilisation de votre PC au fil du temps vous serez sans aucun doute confronté aux virus, vers, spyware, adware,

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I PHISHING/PHARMING Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I Livre blanc réalisé par le Dr Patrice Guichard Le Phishing Si le «phishing» n est pas à proprement parlé une technique

Plus en détail

ULYSSE EST DANS LA PLACE!

ULYSSE EST DANS LA PLACE! LE GUIDE ULYSSE EST DANS LA PLACE! Cheval de Troie. Programme discret, généralement inclus dans un logiciel anodin (jeu, utilitaire), contenant une portion de code malveillant qui contourne certains dispositifs

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X 1 OSSIR 2007/11/12 Faits techniques et retour d'expérience d'une cellule d'expertise Jérémy Lebourdais Mickaël Dewaele jeremy.lebourdais (à) edelweb.fr mickael.dewaele (à) edelweb.fr EdelWeb / Groupe ON-X

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

Les vols via les mobiles

Les vols via les mobiles 1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation

Plus en détail

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Aperçu de l'activité virale : Janvier 2011

Aperçu de l'activité virale : Janvier 2011 Aperçu de l'activité virale : Janvier 2011 Janvier en chiffres Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs : 213 915 256 attaques de réseau ont été

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

La cybercriminalité et les infractions liées à l utilisation frauduleuse d internet : éléments de mesure et d analyse.

La cybercriminalité et les infractions liées à l utilisation frauduleuse d internet : éléments de mesure et d analyse. La criminalité en France Rapport annuel 2014 de l ONDRP La cybercriminalité et les infractions liées à l utilisation frauduleuse d internet : éléments de mesure et d analyse pour l année 2013 Jorick GUILLANEUF

Plus en détail

Etat de l art des malwares

Etat de l art des malwares http://lepouvoirclapratique.blogspot.fr/ [Tapez un texte] [Tapez un texte] [Tapez un texte] Cédric BERTRAND Juin 2012 Etat de l art des malwares Qu est-ce qu un malware? Pourquoi sont-ils créés? Qui sont

Plus en détail

La protection des systèmes Mac et Linux : un besoin réel?

La protection des systèmes Mac et Linux : un besoin réel? La protection des systèmes Mac et Linux : un besoin réel? Les risques encourus par les postes de travail tournant sous d autres plates-formes que Windows se confirment. En effet, les systèmes Mac et Linux,

Plus en détail

L Agence Nationale de la Sécurité des Systèmes d Information

L Agence Nationale de la Sécurité des Systèmes d Information L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009 www.certa.ssi.gouv.fr Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur

Plus en détail

Botnets, les fantômes de l internet. 6 Novembre 2009. Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Botnets, les fantômes de l internet. 6 Novembre 2009. Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail. Botnets, les fantômes de l internet Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.com 6 Novembre 2009 2/38 1 Définition 2 Motivations 3 Fonctionnement 4 Evolution 5 Prévention

Plus en détail

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche? Présentation du problème La banque Boursorama propose un logiciel de protection supplémentaire pour les transactions sur Internet. Ce logiciel est téléchargeable à l adresse suivante : http://www.trusteer.com/webform/download-rapport

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE Version en date du 22/04/2014 RCS Chartres 807 381 157 Code APE 6202B Page 1 sur 6 ARTICLE 1 : OBJET DU DOCUMENT Les présentes conditions particulières,

Plus en détail

Protection pour site web Sucuri d HostPapa

Protection pour site web Sucuri d HostPapa Protection pour site web Sucuri d HostPapa Prévenez et nettoyez maliciels, listes noires, référencement infecté et autres menaces de votre site web. HostPapa inc. 1 888 959 PAPA [7272] +1 905 315 3455

Plus en détail

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012 LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Sécurité sur le web : protégez vos données dans le cloud

Sécurité sur le web : protégez vos données dans le cloud Livre blanc Sécurité sur le web : protégez vos données dans le cloud Présentation Les équipes de sécurité ne peuvent pas être partout, et pourtant le contexte actuel exige des entreprises qu elles protègent

Plus en détail

JAB, une backdoor pour réseau Win32 inconnu

JAB, une backdoor pour réseau Win32 inconnu JAB, une backdoor pour réseau Win32 inconnu Nicolas Grégoire Exaprobe ngregoire@exaprobe.com, WWW home page : http ://www.exaprobe.com 1 Introduction Le but de cet article est de montrer les possibilités

Plus en détail

Rapport 2011 - Phishing-Initiative.com. http://www.phishing-initiative.com

Rapport 2011 - Phishing-Initiative.com. http://www.phishing-initiative.com http://www.phishing-initiative.com Un projet de : L action de Phishing-Initiative en 2011 Ce document est sous licence Creative Commons «CC BY-NC-SA 3.0» 1 Il peut être diffusé librement, mais toute utilisation

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES LE GUIDE RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES On ne le répétera jamais assez : sans protection, les virus, vers et autres chevaux de Troie peuvent s inviter en moins d une seconde sur votre PC. Même si

Plus en détail

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet Le Premier Virus sur Téléphones Mobiles Fête ses 10 ans Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet 2014 marque le 10 ème anniversaire de Cabir, le premier virus infectant

Plus en détail

Le piratage: À la portée de tout le monde? 2010 Michel Cusin 1

Le piratage: À la portée de tout le monde? 2010 Michel Cusin 1 Le piratage: À la portée de tout le monde? 2010 Michel Cusin 1 Agenda de la présentation Les attaquants et leurs motivations Les différentes provenances et sortes d attaques Les étapes d une attaque Les

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Logiciels malveillants

Logiciels malveillants Logiciels malveillants Jean-Marc Robert Génie logiciel et des TI Plan de présentation Introduction Listes des logiciels malveillants Définitions et principales caractéristiques Virus détails Ver détails

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security Le Saviez-vous? La Cybercriminalité génère plus d argent que le trafic de drogue* La progression des malwares

Plus en détail

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014 SEMINAIRE DE Joly Hôtel aristide.zoungrana at arcep.bf AGENDA 2 Définitions Les incidents rencontrés par

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Passé l'injection, Ajax entre en action

Passé l'injection, Ajax entre en action L Expertise Sécurité Passé l'injection, Ajax entre en action Par Philippe Humeau Contexte Les utilisateurs sont désormais "éduqués" et le Web est à la fois devenu un outil de travail, une source d'information,

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO VOLET 4 SECURITY BULLETIN KASPERSKY LAB Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO SOMMAIRE SOMMAIRE PRÉVISIONS 2015 3 Quand les cybercriminels s inspirent des APT 4 Les groupes se fragmentent, les attaques

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

La Gestion des Applications la plus efficace du marché

La Gestion des Applications la plus efficace du marché La Gestion des Applications la plus efficace du marché Contexte La multiplication des applications web professionnelles et non-professionnelles représente un vrai challenge actuellement pour les responsables

Plus en détail

Protection et fuite des données

Protection et fuite des données Protection et fuite des données quelles sont les clés pour s en sortir McAfee Security Summit Paris, le jeudi 24 octobre 2013 Abdelbaset Latreche, Head of HP Enterprise Security Services Consulting France

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail

Mécanismes de sécurité des systèmes. 10 e cours Louis Salvail Mécanismes de sécurité des systèmes 10 e cours Louis Salvail Objectifs Objectifs La sécurité des réseaux permet que les communications d un système à un autre soient sûres. Objectifs La sécurité des réseaux

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Directive de la remontée d'incident de sécurité. Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille

Directive de la remontée d'incident de sécurité. Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille ISMS (Information Security Management System) Directive de la remontée d'incident de sécurité Version control please always check if you are using the latest version. Doc. Ref. :isms.051.security incident

Plus en détail

Sécurité Informatique : Metasploit

Sécurité Informatique : Metasploit Sécurité Informatique : Metasploit Par Brandon ROL Veille Technologique La veille technologique consiste à s'informer de façon systématique sur les techniques les plus récentes et surtout sur leur mise

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail

A. Sécuriser les informations sensibles contre la disparition

A. Sécuriser les informations sensibles contre la disparition Compétence D1.2 II - : Sécuriser son espace de travail local et distant II Sécuriser les informations sensibles contre la disparition 23 Assurer la protection contre les virus 24 A. Sécuriser les informations

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

La technologie DECT offre une protection renforcée contre les accès non autorisés.

La technologie DECT offre une protection renforcée contre les accès non autorisés. LIVRE BLANC La technologie DECT offre une protection renforcée contre les accès non autorisés. Sécurité DECT V01_1005 Jabra est une marque déposée de GN Netcom A/S www.jabra.com CONTEXTE Les communications

Plus en détail

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes 10 12 heures 3 jours plus d une semaine

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes 10 12 heures 3 jours plus d une semaine Quiz sur la sécurité: réponses et explications 1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes 10 12 heures 3 jours plus d une semaine Ce n est vraiment

Plus en détail

LES INSCRIPTIONS À L «UNIVERSITÉ DE LA CYBERCRIMINALITÉ» SONT OUVERTES!

LES INSCRIPTIONS À L «UNIVERSITÉ DE LA CYBERCRIMINALITÉ» SONT OUVERTES! LES INSCRIPTIONS À L «UNIVERSITÉ DE LA CYBERCRIMINALITÉ» SONT OUVERTES! Septembre 2013 La rentrée des classes est un moment très attendu, non seulement pour les parents et les élèves, mais également dans

Plus en détail

Cybercriminalité. les tendances pour 2015

Cybercriminalité. les tendances pour 2015 Cybercriminalité les tendances pour 2015 L écosystème entourant la cybercriminalité est en constante évolution. Les menaces qui affectent ordinateurs, mobiles et serveurs sont de plus en plus sophistiquées.

Plus en détail

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS KASPERSKY DDOS PROTECTION Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS LES ENTREPRISES SONT DEVENUES LA CIBLE DES CYBER-CRIMINELS. Si votre entreprise a déjà subi une

Plus en détail