Gestion de crise et APT

Dimension: px
Commencer à balayer dès la page:

Download "Gestion de crise et APT"

Transcription

1 EPITA Gestion de crise et APT L attaque de haut niveau Floriane ALIXE Claire GAGELIN Jonathan BUSCA Mathieu HARTHEISER Florent BACCI Baptistin BUCHET Julien MONBILLARD Romain VERIATO Louis VATIER dimanche 20 novembre 2011 Ce rapport présente les attaques dites APT (Advanced and Persistant Threads) et les menaces qui en découlent. Étant avant tout élaborées, ces attaques visent à corrompre le système d information d une organisation pour une longue duré afin de lui subtiliser des données dans une totale discrétion. Pour ce faire, les techniques utilisées sont nombreuses et complexes ; s'en protéger peut devenir énigmatique. Aujourd hui, un nombre important de grands groupes a déjà été victime de ce type d attaque.

2 Gestion de crise et APT Sommaire I. Executive Summary... 4 II. Préambule... 5 III. Introduction... 6 IV. Le piratage informatique Attaque informatique, définition et principes Le piratage, de sa naissance à nos jours Le marché de la cybercriminalité Cartographie des menaces mondiales a. Cartographie des serveurs C&C b. Principales attaques c. L origine des attaquants V. Advanced Persistent Threat Définition a. Advanced b. Persistent c. Threat APT et éléments techniques VI. Les techniques de contrôle Le serveur Command and Control Le Fast Flux Les serveurs bulletproof VII. Les techniques d intrusions et d infections La première intrusion Le vecteur d infection L expansion Récapitulatif des outils Conclusion... 20

3 VIII. APT : Cybercriminel vs entreprises Entreprises attaquées par une APT Des attaques de plus en plus complexes Les différents enjeux a. Attaquants - Moyens de mise en place de l attaque b. Attaque c. Conclusion IX. Conclusion X. Contexte du cas fictif XI. Scénario attaquant Phase de renseignement a. Cartographie des filiales b. Cartographie des employés BELLUS PAME c. Cartographie passive des équipements du SI de BELLUS PAME Attaque par Spear Phishing Détournement du Domain Controler Compromission de BELLUS Avionique XII. Détection de l attaque et gestion de crise Détection Analyse Planification Dégradation Nettoyage en profondeur et reprise XIII. L après crise XIV. Conclusion XV. Les 4 grands enseignements de cette simulation

4 I. Executive Summary By definition all computing attacks are prejudicial. Nevertheless they can differ in type and importance. The term Advanced Persistent Thread (APT) first appeared a few years ago when the following attacks occurred: GhostNet, Aurora, Bercy, RSA Security or Lockheed Martin. The expression designates a kind of attack with specific properties which is primarily aimed at companies or administrations, mainly located in more economically developed countries, where information is most highly valued. These attacks illustrate how cybercrime is quickly becoming more professional and organised. Indeed, the rapid rise in the creation of Web tools designed by hackers for everyone (Crimeware As A Service - CaaS) and the emergence of a black markets where high valued information can be easily exchanged: from the access of credit card numbers, to administrative access to servers, lists, Western Union, through to PayPal accounts. Advanced Persistent Threat (APT) is a specific type of attack and differs from all other cybercrime: Advanced: the attack is a complex one and one which requires a wide range of technological competences (social engineering, 0-day weakness, etc.) ; Persistent: This method enables one to benefit from system accesses both in the present and in the future. In other words, once a system has been accessed it can be easily re-integrated. Therefore, attacks have to be carried out in the most inconspicuous ways (use of root kits and of the fast flux technique) through several channels (use of various protocols) in order to avoid getting caught ; Threat: the aim of the attack is to steal valuable information. It is planned in advance and requires substantial resources and a real will from the attacker. From the virtual study it be concluded that: the organization undergoing the attack will not be able to know the real economical value of the stolen documents ; There is no guaranty of having removed all vectors of compromission from the information systems. It is consequently essential to study and analyse the systems behaviour to check whether valuable information is still be accessed ; the cost of a crisis of this magnitude is high because it can cause a temporary shutdown of businesses and thus jeopardize the organization's image. Its future is potentially called into question; one possible outcome would be bankruptcy and business closure. 4

5 II. Préambule L'étude de la chronologie historique des grandes attaques informatiques - précurseurs de la cybercriminalité - permet de découvrir et poser le contexte qui entoure le monde de la sécurité SI d'aujourd'hui. Elle permet de montrer l évolution d'une piraterie non négligeable et de constater l'installation progressive d'un véritable marché noir apportant de nombreux "business" pour les plus nécessiteux. La présentation d un scénario d'attaque et de défense fictif mais réaliste, permet de mieux percevoir les conséquences désastreuses qu'une APT peut engendrer ; l'avant, le pendant et l'après crise, provoquée par une telle offensive, peuvent alors être étudiées avec plus de simplicité. Une telle approche permet l'explication simple et concrète de ce qu est une APT et permet de lier théorie et pratique en une unique démarche. 5

6 Gestion de crise et APT III. Introduction L'évolution des technologies numériques est telle que celles-ci sont devenues omniprésentes, créant ainsi une nouvelle dimension dans notre monde : le cyberespace. Les conséquences matérielles et humaines de son exploitation peuvent-être importantes. C'est pourquoi il convient de le maitriser au mieux pour en faire une source de progrès et de croissance. Cette maitrise ne peut exister que par un ordre définit et le respect de cet ordre. Ainsi, la législation du cyberespace a vu le jour. Cependant, toute forme de législation induit des comportements déviants. La cybercriminalité représente les délits liés à l'utilisation des technologies numériques. Son développement étant croissant, les attaques informatiques dont elle est à l'origine se multiplient également. Si toutes les attaques informatiques sont préjudiciables, il en existe de tout genre et de toute gravité. Ainsi, depuis quelques années, le terme APT a vu le jour. Il caractérise une forme d attaque informatique visant des propriétés particulières et dirigées contre des entreprises ou administrations. Cette partie a pour objectif d'analyser le contexte d'évolution d'une APT et ses caractéristiques. Dans un premier temps, il est donc essentiel d'étudier plus précisément l'origine de ce type d'attaque : la cybercriminalité. La deuxième partie de cette analyse vise à définir clairement une APT, à travers ses particularités et son anatomie technique, la distinguant d'un autre type d'attaque informatique. Ils représentent des menaces pour les entreprises ou administrations qu'il est essentiel de qualifier pour cette étude. Ainsi, la deuxième partie traitera de ces menaces en définissant d'une part les différents types de menaces possibles et d'autre part en qualifiant ces menaces à l'aide d'une pondération. Enfin, les caractéristiques et les objectifs d'une APT ne suffisent pas à définir ce type d'attaque. Ainsi, cette étude ne saurait être complète sans définir la cible d'une APT. C'est pourquoi les enjeux d'une APT seront développés en dernière partie. Celle-ci sera complétée par quelques exemples sommaires pour étayer les propriétés d'une APT décrit dans toute cette partie. 6

7 IV. Le piratage informatique 1. Attaque informatique, définition et principes Une attaque informatique est l'exploitation d'une faille, d une mauvaise configuration d'un système informatique (système d'exploitation, logiciel, etc.) ou l utilisation frauduleuse d un secret à l insu de son propriétaire et à des fins souvent préjudiciables. Réaliser ce type d attaque porte un nom connu de tous : le piratage informatique. Des attaques informatiques ont lieu en permanence sur Internet ; on en compte plusieurs centaines par minutes. Elles peuvent être de multiples natures (virus, cheval de Troie, attaque de masse, etc.) et se réalisent, la plupart du temps, de manière totalement transparente. Malgré le risque pénal, les motivations des attaquants sont nombreuses : voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ; récupérer des données bancaires ; s'informer sur une organisation (utilisateurs, activités, etc.) ; utiliser les avantages des ressources d un système informatique (bande passante, etc.) ; utiliser le système comme un «rebond 1» pour une attaque sur un autre système. Les manières d attaquer sont nombreuses, pour peu qu'il existe une vulnérabilité exploitable. Ces dernières peuvent être catégorisées comme suit (liste non exhaustive) : Accès physique : l'attaquant réussi à obtenir un accès aux locaux de l entreprise et dans le pire des cas, aux machines informatiques souhaitées. Exemple : coupure de l'électricité, ouverture du boîtier de l'ordinateur et vol de disque dur, vandalisme, piégeage logique ou matériel, etc. Interception de communications : l attaquant réussi à se placer entre deux communicants et écoute ce qu il se passe. Exemple : espionnage (MITM), détournement ou altération de messages, etc. Dénis de service : attaques visant à perturber le bon fonctionnement d'un service. Exemple : inondation de requêtes HTTP sur un serveur web par de nombreuses machines (DDoS), inondation de requêtes TCP/IP sur un réseau d entreprise pour le saturer, etc. Social engineering : l attaquant utilise la faille humaine ; il trouve de l information en communiquant directement avec l utilisateur ou plus récemment, sur les réseaux sociaux. Exemple : l attaquant envoie un en se faisant passer pour un collègue de travail et demande le mot de passe de l Intranet. 1 Principe des serveurs C&C, vu dans la partie XX. 7

8 Backdoor : il s'agit d'une porte dérobée dissimulée dans un logiciel, permettant un accès ultérieur à son concepteur. Exemple : mot de passe inscrit en dur dans le code permettant d accéder à une application, fonctionnalité cachée permettant d exécuter des commandes. 2. Le piratage, de sa naissance à nos jours Avant les ordinateurs, les phreakers C est au début des années soixante, en pleine révolution sociale américaine, que le phreaking est apparu. Diminutif de freak, free et phone (i.e. «les mordus du téléphone gratuit»), le phreaking est une pratique de piratage du système téléphonique permettant d effectuer gratuitement des appels interurbains. Cette technique est connue comme le premier piratage technologique. Les naissances des ordinateurs personnels En 1975, prit naissance le Homebrew Computer Club à Menlo Park en Californie. Ce club avait pour but de déplacer l ordinateur des laboratoires et entreprises pour le mettre à disposition du grand public. Deux membres du Club se démarquèrent rapidement et finir par former Apple Computers et le fameux Apple I. Peu de temps après, Apple, IBM ainsi que des centaines d'autres petites et moyennes entreprises mirent sur le marché les premiers micro-ordinateurs. C'est donc à cette époque que la communauté «hackers» s est développée. Une des toutes premières actions dans ce domaine a visé l école Polytechnique avec le piratage de Cray One 2, en Les piratages qui ont marqué ces 40 dernières années C est en 1983 que Kevin MITNICK, jeune étudiant de l époque, réussit à rentrer pour la première fois de l histoire, dans le système informatique du Pentagone. Après avoir récupéré un accès à ARPANet 3 grâce à un ordinateur déjà connecté au réseau, MITNICK réussit à trouver un point d entrée et s introduit ainsi sur le réseau interne du Pentagon pour y dérober des informations de la plus haute importance. En 1987, Kevin MITNICK et son ami Lenny DiCicco, arrivent à s introduire sur le réseau interne du laboratoire de recherche de la Digital Equipment Corporation (DEC). MITNICK innove cette fois-ci en réussissant à brouiller la totalité des traces laissées derrière lui. Les autorités ont donc eu beaucoup de mal à remonter jusqu à lui. En 1988, Robert TAPPAN MORRIS, aujourd hui professeur au Massachusetts Institute of Technology (MIT), a créé le tout premier ver d Internet. Le concept d un ver est quelque peu différent du piratage classique : plutôt que de s introduire soi-même sur un réseau, c est un programme qui se charge de faire le travail. 2 Ordinateur le plus puissant de l époque, d une valeur d environ 70 millions de Francs. 3 Ancêtre d Internet utilisé par l armée, les entreprises et les grandes universités. 8

9 Ce premier ver, intitulé «le ver Morris», a infecté plusieurs milliers d ordinateurs en quelques heures et a engendré une facture de réparation approchant les $ par infection. En 1994, Vladimir LEVIN devient la première personne à utiliser le piratage informatique pour gagner de l argent. Pour ce faire, il s est infiltré sur le réseau interne de la banque américaine Citibank. Il a piraté la connexion analogique de la banque et s est offert un accès à plusieurs comptes. C est de cette manière qu il est parvenu à transférer la somme de 10,7 millions de dollars vers des comptes aux Etats-Unis, en Finlande, en Allemagne, en Israël et en Hollande. D autres manières de pirater sont arrivées au fur et à mesure. En effet, Jon JOHANSEN s est par exemple penché sur la question de contourner les protections de CD, DVD et autres fichiers numériques. Le piratage des jeux-vidéos, des films et surtout de la musique est donc arrivé dès les années 90. Un phénomène en évolution Avec la démocratisation d Internet, les pirates sont aujourd hui plus nombreux que jamais. Toutefois, le nombre de grandes attaques ne semble pas connaître une telle explosion. Le mouvement a pris une direction quelque peu différente de celle empruntée auparavant. En effet, depuis plusieurs années, les experts en sécurité doivent faire face à de nouvelles menaces, moins ponctuelles, moins virulentes mais beaucoup plus massives et critiques. Les pirates n agissent plus seul et envers les entreprises mais semblent se rassembler et s attaquer à l échelle des pays. Ce phénomène peut ainsi être caractérisé par l arrivée des botnets (réseaux composés de plusieurs milliers de machines hébergeant, à l insu de leur propriétaire, un programme permettant la réalisation de diverses actions malveillantes). Les plus connus portent un nom ; on y trouve TDL, RogueAV, Zeus, Monkif ou encore Koobface. Tous représentent aujourd hui des millions d ordinateurs infectés dans les quatre coins du monde permettant de multiples attaques massives. Cette évolution se traduit aujourd hui avec l apparition de deux phénomènes. Tout d abord, il y a une structuration de la cybercriminalité à l instar du trafic de drogue et autre mafia. Des organisations exploitent les failles informatiques pour créer un marché et faire fortune. Ainsi, il est à noter l émergence du CaaS : Crimeware as a Service. Des outils ou des services sont mis à disposition de tout un chacun permettant à tout le monde, y compris ceux n ayant pas de compétence technique particulière, de commettre des actes de piratage. Le signe le plus distinctif de ces deux phénomènes intrinsèquement liés est l émergence et l ouverture à tous des sites de «Black Market». 9

10 3. Le marché de la cybercriminalité Les termes de «marché noir de la cybercriminalité» sont apparus au même moment qu une large opération de démantèlement (i.e. l opération «Firewall») menée en 2004, par les services secrets américains. Cette dernière a permis de dévoiler au public les premières informations sur ce nouveau marché en ligne. Vingt-huit membres principaux du ShadowCrew, une communauté en ligne d environs cybercriminels, ont finalement été arrêtés pour avoir été à l'origine de l'envoi de milliers de messages de phishing ainsi que du piratage de réseaux d'entreprises. Les informations dérobées étaient alors échangées sur Internet, aux enchères, formant ainsi l un des tous premiers marchés noir de la sorte. Depuis, de nombreuses communautés de fraude en ligne se sont créées, émergeant tout d abord sur le réseau IRC (Internet Relay Chat). Au sein de ces communautés, les cybercriminels vendent leurs services, échangent des conseils et se partagent des informations. Pour les attaques groupées qu ils orchestrent, certains se partagent les tâches et ne réalisent donc pas les attaques de A à Z ; ils comptent en effet sur d'autres membres de la communauté pour finir ou continuer le travail. Toutes les attaques, menées à bien, offrent différents types de marchandises pouvant, a posteriori, être échangées ou vendues au travers de forums en ligne tout comme un site e-commerce pourrait le proposer légalement. Voici une liste non exhaustive de ce qui est proposé aujourd hui, sur le marché noir de la cybercriminalité : numéros de cartes de crédit ; accès administratif aux serveurs ; listes d'adresses électroniques ; comptes de services de paiement en ligne ; fausses devises ; comptes Western Union, Paypa, etc. 10

11 4. Cartographie des menaces mondiales a. Cartographie des serveurs C&C4 En récupérant une liste de domaines compromis par des logiciels malveillants, il est possible de corréler ces résultats sur une «Google Map» grâce aux différentes API existantes. Une grande quantité de serveurs C&C est aux Etats-Unis, en Europe et en Chine principalement. Il y en a également en Afrique subsaharienne, au Moyen-Orient, en Australie, au Japon et en Russie. De cette cartographie, résulte le constat selon lequel les grandes puissances économiques possèdent sur leur territoire, la majorité des serveurs compromis permettant de contrôler des attaques à distance à travers la planète. 4 Source :http://www.malwaredomainlist.com/mdl.php?inactive=&sort=ip&search=&colsearch=all&ascordesc=desc&quanti ty=50&page=0 11

12 b. Principales attaques 5 Cette carte rassemble les principales cibles d attaques de ces dernières années (de 1999 à aujourd hui). Il convient de constater que les attaques s orientent principalement vers les États-Unis et l Europe même si la Chine et le Moyen-Orient sont aussi visés, pays industriels et économiquement développés. Les attaquants les visent naturellement car ces cibles lui permettent de maximiser ses gains illégitimes. Cette carte reflète aussi par extrapolation le climat politique qui règne aujourd hui entre les différents états, et la course vers la première place économique mondiale. Tout est bon pour déstabiliser son adversaire, jusqu à dérober des informations confidentielles pour prendre de l avance. 5 Source : https://www.google.com/fusiontables/datasource?dsrcid=930451&search=web&cd=1 12

13 c. L origine des attaquants 6 Ce dernier planisphère regroupe les principales zones géographiques sources d attaque de 1999 à aujourd hui. Ces attaques sont donc lancées majoritairement depuis l Europe, le Moyen- Orient et la Chine. Les États-Unis, le Brésil et la Russie sont aussi des sources d attaques. Cette observation, confirme bien le fait que les attaques majeures sont menées depuis des pays faisant partie des grandes puissances industrielles et économiques de ce monde. 6 Source : https://www.google.com/fusiontables/datasource?dsrcid=930451&search=web&cd=1 13

14 V. Advanced Persistent Threat 1. Définition Les Advanced Persistent Threat sont une nouvelle forme d'attaque définie il y a seulement quelques années par les professionnels de la sécurité. Ces attaques sont très symptomatiques d'un monde où la cybercriminalité se professionnalise et où l'on s'éloigne de plus en plus du hacker solitaire à la recherche du simple défi technique. Les APT sont un type de menace précis et se distingue de toutes autres attaques cybercriminelles de par les trois critères qui forme son acronyme : a. Advanced Par définition, une APT fait appelle à des techniques qui ne sont pas à la portée de tout cybercriminel. Ce qui fait qu'une attaque peut être qualifiée "d'avancée" est le fait de faire appel à un large éventail de techniques pour parvenir à ses fins. Lors d'une telle attaque, des vulnérabilités connues peuvent être utilisées, mais dans le cas où celles-ci ne suffiraient pas, des vulnérabilités spécifiques de type 0-day peuvent être exploitées spécialement pour l'attaque. Les techniques de social engineering viennent compléter cet éventail de solution. Ces attaques sont le plus souvent effectuées après une phase de collecte de renseignements qui sert à connaitre les faiblesses de la cible et ainsi établir un plan détaillé du déroulement de l'attaque. b. Persistent Le but d'une APT n'est pas d'obtenir des renseignements de manière ponctuelle. En effet, pour qu'une attaque soit qualifiée d'apt celle-ci se doit d'être persistante, c'est à dire de maintenir un accès à la source d'information que l'on souhaite obtenir le plus longtemps possible et tout entreprendre pour revenir si elle venait à être supprimée du SI. Cela implique de porter un soin tout particulier au code malveillant qui va extraire les données. Il ne doit pas être détecté sous peine de se faire désactiver. L'envoi des données doit donc passer inaperçu. De plus, le code en lui même doit être indétectable. Pour cela, il est presque indispensable de bénéficier d'une capacité de maintenance à distance afin d'outrepasser la sécurité des antivirus. De plus, en cas de détection du code malveillant l'attaque doit pouvoir se poursuivre. Pour cela, plusieurs canaux d'extractions sont en général prévus. Ainsi, si l'un d'eux est détecté l'extraction peut se poursuivre en activant un autre canal. Dans le cas extrême où tous les moyens de l'attaquant seraient désactivés, une nouvelle attaque peut alors être menée afin de reprendre le contrôle des données ciblées. Il peut utiliser à cette fin des vulnérabilités qu il aura identifiées au préalable, mais qu il n aura pas exploitées. 14

15 c. Threat La conjonction des deux critères précédents faits de l'apt une menace très sérieuse. L'entité menant une telle attaque a à la fois les capacités de réaliser une offensive techniquement avancée, mais elle montre également une forte volonté de parvenir à ses fins en engageant les moyens nécessaires. Ce qui caractérise donc cette menace est qu'elle est avant tout ciblée, elle contraste donc avec le hacking opportuniste qui consiste à rechercher un type de vulnérabilité précis et à passer son chemin si la vulnérabilité en question n'est pas présente. Cette menace se distingue aussi de celles provoquées par les hacktivistes ou les hackers en quête de notoriété, qui eux vont chercher à médiatiser leurs exploits. La menace ici se doit d'être invisible. En effet, c'est le fait de passer inaperçu qui va permettre aux attaquants de pouvoir maintenir un accès prolongé dans le temps à la source d'informations ciblée. Les APT sont donc un type d'attaque réalisée par un organisme ou un groupe de personnes qui a à la fois la capacité et l'intention d'attaquer une cible précise. Cette attaque est coordonnée par des moyens humains plutôt que par l'exécution automatique d'un quelconque malware. L'attaque est organisée par des personnes qualifiées qui ont la motivation nécessaire afin d'atteindre leur objectif. 2. APT et éléments techniques Les techniques utilisées dans le cadre d une APT sont assez proches de celles utilisées dans les botnets. Elles sont toutefois plus élaborées, et ciblées vers une entité spécifique, généralement de grande taille, et dont l objectif est de prendre le contrôle partiel ou total de son système d information. Le but n est pas l infection en masse mais l infection ciblée. Afin de permettre à l intrusion de durer le plus longtemps possible, les auteurs utilisent toute une gamme d outils permettant à la fois de cacher l infection et de ne pas être identifiés en cas de découverte de l APT. VI. Les techniques de contrôle 1. Le serveur Command and Control La technique la plus courante est celle dite du «Serveur Command and Control». C est un serveur relais qui reçoit les commandes de l auteur de l intrusion, et les transmet aux agents présents dans le réseau d ordinateurs compromis, appelés zombis. Le serveur C&C n appartient généralement pas aux auteurs de l attaque, mais à lui-même été compromis au préalable et rend donc la remontée jusqu aux auteurs plus difficile. 15

16 Ce serveur peut utiliser une vaste gamme de protocoles de communication pour dialoguer avec les agents d infection, en fonction des flux autorisés par le firewall. On trouve ainsi des flux HTTP et HTTPS, mais également des protocoles divers tels que MSN, FTP, ou encore des moyens plus subtils tels que DNS ou NTP, difficilement contrôlables. Il y a souvent plusieurs serveurs C&C, dont la liste est maintenue et envoyée régulièrement aux agents. L objectif est d éviter que la «perte» d un serveur C&C ne soit préjudiciable à l attaque. De plus, les serveurs C&C varient fréquemment afin de diminuer les traces grâce à différentes techniques, notamment le Fast Flux. 2. Le Fast Flux Le changement fréquent de serveur se fait grâce aux DNS, et à la technique dite du «Fast Flux». Cette technique se déploie en plusieurs phases. La première est de constituer un petit botnet, d une centaine de machines, qui vont agir comme reverse proxy vers les serveurs C&C. L objectif est ici de masquer l adresse IP réelle des serveurs C&C, de manière à cacher leur existence. Pour accéder à ce botnet, l attaquant va configurer un serveur DNS qu il aura compromis 7 de telle sorte qu il délivre aléatoirement l IP d un des membres du botnet, avec un TTL (time to live) très court. L objectif est que l adresse IP utilisée change constamment, rendant ainsi difficile la consolidation des logs pour les administrateurs. Figure 1 : Dig sur un serveur C&C de ZeuS qui utilise la technique du Fast Flux 7 Possibilité d héberger également dans un pays disposant d une législation laxiste en matière de piratage informatique. 16

17 Enfin, les agents infectieux et le serveur C&C utilisent le reverse proxy de n importe lequel des membres du botnet pour dialoguer et s échanger des instructions. De par leur grand nombre, la perte d un membre du botnet n est pas préjudiciable, occasionnant au pire une latence de quelques secondes le temps de passer sur un autre membre. 3. Les serveurs bulletproof Afin de disposer d une infrastructure, les attaquants se fournissent parfois chez des prestataires de serveurs «Bulletproof». C est un ensemble de services qui est vendu par des hébergeurs peu regardant envers les pratiques de leurs clients. Ils ne répondent pas aux injonctions de la justice ou ralentissent les demandes légales, et «couvrent» ainsi leurs clients en échange d un coût supplémentaire. Un exemple de prestataire Bulletproof dédié au spam. On observe la mention «We guarantee your site will not get shut down». 17

18 En plus de cette protection, le fournisseur de Bulletproof fourni en général un Fast Flux permettant de cacher le serveur, ainsi qu une infrastructure de haute disponibilité permettant de garantir la présence permanente du serveur en ligne. Ils disposent également de protections contre les tentatives d intrusions, ainsi que de systèmes de surveillance avancée de leur réseau. VII. Les techniques d intrusions et d infections L infection se fait en profondeur : il s agit pour l auteur de l APT d étendre progressivement son contrôle aussi largement que possible sur le SI de l entreprise, si possible en atteignant les emplacements de documents importants ou le contrôle de systèmes stratégiques. 1. La première intrusion La première intrusion n a pas vraiment de cible précise. Les cibles peuvent être des administrateurs ou de simples utilisateurs, attaquées la majeure partie du temps via des méthodes de social engineering dans un premier temps afin de mettre en place une backdoor. Même si n importe quel utilisateur peut servir de vecteur d intrusion, les administrateurs du SI restent tout de même les cibles prioritaires. L objectif de l attaquant est de connaître au maximum sa victime afin que celle-ci ne soit pas sur ses gardes lors de l infection. Pour cela, il utilise en général des outils permettant de faciliter le social engineering sur sa victime. Il pratique l analyse des réseaux sociaux, observe les habitudes de sa cible et acquiert un maximum d informations publiques sur elle. Par exemple, le logiciel Maltego permet de regrouper toutes les informations possibles sur une personne et de les compiler de manière à obtenir un profil complet. 2. Le vecteur d infection L intrusion dans le SI n utilise en général pas de techniques très sophistiquées. La majeure partie du temps, il s agit d exploiter une vulnérabilité non corrigée dans les outils du poste de travail, comme une vulnérabilité dans Adobe Reader, dans Flash ou encore grâce à des macros Office. Mais il existe tout de même un éventail assez large de techniques telles que : récupération des hash des mots de passe de comptes administrateurs dans le processus lsass.exe (Local Security Authority Subsystem), si l attaquant est administrateur du poste de travail ; élévation locale grâce à une faille 0-day dans le noyau ou dans un service ; récupération du mot de passe administrateur dans un script présent sur le poste de travail ; détermination des mots de passe des des comptes administrateurs du domaine par «bruteforce» ; exploitation de failles système distantes, par exemple, la faille MS (NET API). 18

19 L attaquant envoie par exemple un document par à sa cible, qui aura été préparé spécifiquement pour celle-ci grâce au social engineering. Une fois le document ouvert, le poste de la cible est compromis et constitue un point d entrée dans le SI. Le premier objectif de l attaquant sera alors de sécuriser son point d entrée. Il lui faut ainsi camoufler l infection, en utilisant en général un rootkit (s il est administrateur du poste de travail) qui masquera sa présence face aux antivirus. 3. L expansion Une fois le point d entrée sécurisé, l objectif sera alors d augmenter la zone du SI contrôlée. L auteur de l APT va en général utiliser des techniques tels que les keyloggers et l analyse du contenu du poste de travail, ainsi qu une analyse discrète du réseau, afin d obtenir des informations lui donnant un accès légitime sur d autres postes. S il a obtenu l accès à un poste d administrateur, son objectif principal sera de prendre le contrôle de l Active Directory de l entreprise. Pendant toute cette progression, l attaquant doit prendre soin de ne pas être repéré par les administrateurs tout en augmentant la zone sous son contrôle. Pour cela, son objectif sera d obtenir un accès légitime dès que possible, afin que ses opérations passent pour des accès normaux. Il est donc très important de ne pas observer que les flux «illégaux», mais aussi ceux qui semblent émaner d utilisateurs légitimes. 4. Récapitulatif des outils Intrusion Camouflage Communication Expansion Faille 0day Rootkits Serveur C&C Keylogger Social engineering Fast flux Protocoles variés Poste (HTTP, HTTPS, IRC...) administrateurs Hébergement Bulletproof Active directory des 19

20 5. Conclusion Les techniques utilisées dans une APT ne sortent pas de l ordinaire. Il s agit des mêmes méthodes que celles employés au quotidien par des cybers escrocs pour le spam, le DDOS, les infections en masse ou encore l acquisition de données marketing. Les outils sont simples, et ciblent chacun une tâche bien précise. Néanmoins, ce ne sont pas les outils qui constituent une APT, mais leur utilisation en commun par un groupe d individus ayant une cible précise. De ce point de vue, l APT est donc une attaque dont la complexité provient de l agencement et de l exploitation de combinaisons de plusieurs techniques simples et l utilisation de techniques plus avancées (faille 0-day), qui permettent de donner à l attaquant un avantage important, à savoir celui de l utilisation de techniques bien maîtrisées et de techniques non connues. Le meilleur moyen de se prémunir contre une APT reste donc de se prémunir contre chacun de ces outils individuellement. Ils constituent autant de failles dans le SI qui peuvent certes être exploitées pour une attaque en masse, sans cible, mais également pour une attaque ciblée et donc beaucoup plus efficace. 20

21 VIII. APT : Cybercriminel vs entreprises 1. Entreprises attaquées par une APT Les tableaux suivants reprennent les caractéristiques principales (documents visés, nombre de machines infectées, etc) des APT les plus connues dans l optique d identifier les points communs et les divergences. Nom usuel GhostNet Night Dragon Aurora Date de début 22 mai 2007 Novembre 2009 Début Décembre 2009 Date de détection Mars 2009 Début Janvier 2010 Pays 103 pays (Taiwan, Etats-Unis, Vietnam, ) Etats-Unis Etablissement(s) - Ambassades - Ministères des affaires étrangères - Organisations non gouvernementales Entreprises des secteurs de l énergie: (Exxon Mobil, Royal Dutch Shell, BP, etc) Plus de 30 entreprises Américaines : Google, Adobe et bien d autres Documents visés - Documents administratifs de très forte valeur - Documents privés du Dallai Lama Cartes topographiques informatisées confidentielles qui montrent les emplacements de réserves pétrolières potentielles - Documents couverts par le droit sur la propriété intellectuelle - Comptes Google des militants des droits humains Vecteurs d attaque Cheval de Troie (Gh0st RAT*) -MS Windows - RATs* «zwshell», «Gh0st RAT» et «Poison Ivy» - Injections SQL - Vuln. MS - Pas d utilisation de faille 0-day - Faille 0-day dans MS Internet Explorer 6 à 8 - Vuln. Adobe Reader Nombre de machines compromises > 1300 dans 103 pays (principalement Taiwan, Etats-Unis, Vietnam et Inde) Contre mesures Chez MS : - Audit d Internet Explorer - Sortie d une MAJ Origine supposée Hainan, Chine (démenti) Beijing, Chine (démenti) Chine (démenti) 21

22 Nom usuel Bercy RSA Security Lockheed Martin Date de début Décembre 2010 Date de détection Début Janvier 2011 Mars mai 2011 Pays France Etats-Unis Etats-Unis Etablissement(s) Ministère de l Economie et des Finances Documents visés Dossier sensibles de la présidence française du G20 RSA Security : entreprise américaine spécialisée dans la sécurité informatique «Two-factor tokens», graines servant à la génération de codes pseudo-aléatoires utilisés dans l authentification SecurID utilisés par plus de clients Lockheed Martin, 1 er sous-traitant du Pentagone : employés, $45 milliard de CA Informations critiques sur les avions de combats F-22 et F-35 Vecteurs d attaque Nombre machines compromises Contre mesures de Cheval de Troie dans un PDF 150 machines - 20 à 30 personnes de l ANSSI* ont travaillé jour et nuit pendant 2 mois [Source : Paris Match] - Maintenance de postes de travail - Revoir les politiques de sécurité et audit des systèmes d informations de Bercy - Utilisation des tokens SecurID volés a RSA Security - Social Engineering Origine supposée Chine ou Asie Chine? Russie? * RAT : Remote Access Trojan * ANSSI : Agence Nationale Sécurité Système d Information * MS : Microsoft 22

23 2. Des attaques de plus en plus complexes Les voleurs d informations n hésitent plus à attaquer d abord un fournisseur de solutions de sécurité pour ensuite mener à bien des attaques contre ses clients comme le montre l attaque de Lockheed Martin (mai 2011) après l intrusion dans le système d information de RSA Security (mars 2011). Il est avéré que Lockheed Martin utilisait la solution d authentification de RSA Security «SecurID» qui, rappelons-le, est une solution d authentification forte utilisée par les sociétés les plus prudentes au monde. Suite à l annonce par RSA Security dans une lettre ouverte du 21 mars de la compromission de leur système d information et du vol de tokens directement utilisés dans leur solution SecurID, Lockheed Martin n a pas jugé nécessaire de changer de solution d authentification et s est retrouvé attaqué a son tour. Les attaquants s étant servis des clés pour signer le malware et donc le faire passer pour une donnée légitime. On rappellera donc l importance des fournisseurs et plus particulièrement des fournisseurs de solutions de sécurité dans la sécurisation d un système d information. 3. Les différents enjeux Durant le déroulement d une attaque de type APT réalisée par un groupe d attaquants sur une entreprise, différents points sont mis en jeu, représentant les possibles gains ou pertes pour chacune des deux parties. Cette partie permettra de donner une vision globale, schématique et simple des enjeux que représente l APT pour les deux parties concernées. On peut distinguer des enjeux différents dans la phase amont de l attaque. Pour les attaquants il s agit de réunir des moyens pour la réalisation d une APT. Pour l entreprise n ayant pas conscience d une attaque, d avoir des moyens de s en protéger. À partir du moment où l APT a commencé, l objet de l attaque est le même pour les deux parties, l information sensible, mais les positions sont opposées: ce que l entreprise peut perdre et ce que le groupe de malfaiteur peut gagner sur le court et long terme. 23

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

Inside a ZeuS botnet

Inside a ZeuS botnet http://lepouvoirclapratique.blogspot.com/ Inside a ZeuS botnet Partie 1/2 Cédric BERTRAND 11 Résumé Zeus est un des outils les plus utilisés ces dernières années par les criminels afin de capturer des

Plus en détail

Les infections informatiques

Les infections informatiques Initiation à la sécurité 1/ 9 Les infos contenues dans cette page proviennent du site Pegase-secure à l'adresse ci-dessous. http://www.pegase-secure.com/definition-virus.html LES VIRUS INFORMATIQUES Cette

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI)

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) Dernière version du 02 Septembre 2014 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

Les attaques APT Advanced Persistent Threats

Les attaques APT Advanced Persistent Threats Les attaques APT Advanced Persistent Threats Forum 2011 David TRESGOTS Cert-IST Sommaire APT : De quoi parle-t-on? En quoi les APT diffèrent-elles des autres attaques? Est-ce vraiment nouveau? Pourquoi

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Tendances et attaques : Analyse des nouvelles attaques

Tendances et attaques : Analyse des nouvelles attaques Tendances et attaques : Analyse des nouvelles attaques Philippe Bourgeois Juin 2008 Plan de la présentation page 2 / 21 Plan de la présentation page 3 / 21 Alertes et Dangers Potentiels émis en 2008 Pas

Plus en détail

Club des Responsables d Infrastructures et de la Production

Club des Responsables d Infrastructures et de la Production Club des Responsables d Infrastructures et de la Production LA BRIGADE D ENQUÊTES SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION Intervention du Commissaire Divisionnaire Anne SOUVIRA Le 19 mars 2014

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Criminalité numérique Etat des menaces et tendances

Criminalité numérique Etat des menaces et tendances Etat des menaces et tendances Laurence Ifrah 1 er au 2 avril 2008 Cyberconflits 2007 Les deux premières attaques massives ciblées L Estonie - La Chine Les attaquants et commanditaires ne sont pas formellement

Plus en détail

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche? Présentation du problème La banque Boursorama propose un logiciel de protection supplémentaire pour les transactions sur Internet. Ce logiciel est téléchargeable à l adresse suivante : http://www.trusteer.com/webform/download-rapport

Plus en détail

LES BOTNETS : ACTEURS MAJEURS DE L OMBRE. Auteur Sébastien GOUTAL Responsable Filter Lab

LES BOTNETS : ACTEURS MAJEURS DE L OMBRE. Auteur Sébastien GOUTAL Responsable Filter Lab www.vade-retro.comlivre BLANC LES BOTNETS : ACTEURS MAJEURS DE L OMBRE Auteur Sébastien GOUTAL Responsable Filter Lab Janvier 2014 Index Introduction... 2 Naissance d un botnet... 3 Vie d un botnet...

Plus en détail

TRANSFORM IT + BUSINESS + YOURSELF. Copyright 2012 EMC Corporation. All rights reserved.

TRANSFORM IT + BUSINESS + YOURSELF. Copyright 2012 EMC Corporation. All rights reserved. TRANSFORM IT + BUSINESS + YOURSELF Transformer l'approche de la sécurité Garantir la confiance dans un monde de plus en plus numérique TRANSFORM IT + BUSINESS + YOURSELF Bernard MONTEL RSA France L entreprise

Plus en détail

Conférence APT : Advanced Persistent Threat Advanced Persistent Threat ou APT, quels risques pour nos entreprises derrière cet acronyme barbare?

Conférence APT : Advanced Persistent Threat Advanced Persistent Threat ou APT, quels risques pour nos entreprises derrière cet acronyme barbare? Advanced Persistent Threat ou APT, quels risques pour nos entreprises derrière cet acronyme barbare? (Version spécifique pour diffusion sur le site d OpenSphere) Session : Conférence OpenSphere / 24 septembre

Plus en détail

I INTRODUCTION II LE PHISHING

I INTRODUCTION II LE PHISHING I INTRODUCTION Ce premier chapitre a pour but de donner les différents concepts de base du monde du phishing ainsi que leurs définitions respectives. Nous commençons par les définitions. Le phishing, ou

Plus en détail

NETTOYER ET SECURISER SON PC

NETTOYER ET SECURISER SON PC NETTOYER ET SECURISER SON PC NETTOYER Pourquoi nettoyer son PC? Pour gagner de la place sur votre disque dur Pour accélérer son fonctionnement Pour supprimer tous les logiciels et fichiers inutiles ou

Plus en détail

L anonymisation des botnets soulève de nouveaux problèmes de sécurité.

L anonymisation des botnets soulève de nouveaux problèmes de sécurité. L anonymisation des botnets soulève de nouveaux problèmes de sécurité. Bien que les botnets, de grands réseaux d ordinateurs compromis gérés par des pirates à partir d un serveur de commande et de contrôle

Plus en détail

Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir?

Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir? Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir? Michel Futtersack, Faculté de Droit, Université Paris Descartes, Sorbonne Paris Cité Tout système informatique

Plus en détail

Prévenir les Risques liés à l usage d Internet dans une PME-PMI

Prévenir les Risques liés à l usage d Internet dans une PME-PMI Prévenir les Risques liés à l usage d Internet dans une PME-PMI Définition protocole Un protocole est un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Vulnérabilités SCADA/ICS

Vulnérabilités SCADA/ICS Vulnérabilités SCADA/ICS Listing des 10 vulnérabilités les plus fréquemment rencontrées lors de missions Wilfrid BLANC - LEXSI 1 Réalisation de nombreuses missions en contexte industriel depuis 2011 Audit

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE Version en date du 22/04/2014 RCS Chartres 807 381 157 Code APE 6202B Page 1 sur 6 ARTICLE 1 : OBJET DU DOCUMENT Les présentes conditions particulières,

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START ARTICLE 1 : OBJET Dernière version en date du 06/12/2013 Les présentes conditions particulières, complétant les conditions générales

Plus en détail

ULYSSE EST DANS LA PLACE!

ULYSSE EST DANS LA PLACE! LE GUIDE ULYSSE EST DANS LA PLACE! Cheval de Troie. Programme discret, généralement inclus dans un logiciel anodin (jeu, utilitaire), contenant une portion de code malveillant qui contourne certains dispositifs

Plus en détail

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux

Plus en détail

FORMATION PROFESSIONNELLE AU HACKING

FORMATION PROFESSIONNELLE AU HACKING FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X 1 OSSIR 2007/11/12 Faits techniques et retour d'expérience d'une cellule d'expertise Jérémy Lebourdais Mickaël Dewaele jeremy.lebourdais (à) edelweb.fr mickael.dewaele (à) edelweb.fr EdelWeb / Groupe ON-X

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

1: Veille sur les vulnérabilités et les menaces

1: Veille sur les vulnérabilités et les menaces Evolution des failles et attaques Bilan de l année 2012 www.cert-ist.com Mars 2013 Philippe Bourgeois Plan de la présentation 1) Veille sur les vulnérabilités et les menaces 2) Evénements majeurs de 2012

Plus en détail

Internal Hacking et contre-mesures en environnement Windows Piratage interne, mesures de protection, développement d'outils

Internal Hacking et contre-mesures en environnement Windows Piratage interne, mesures de protection, développement d'outils Introduction 1. Préambule 15 2. Décryptage d une attaque réussie 17 3. Décryptage de contre-mesures efficaces 18 3.1 Analyse de risques réels 18 3.2 Considérations techniques 19 3.3 Considérations de la

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Les vols via les mobiles

Les vols via les mobiles 1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus

Plus en détail

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques Module 1 Panorama des menaces SSI Module 2 Les règles élémentaires de protection

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Rewics (04 mai 2011) - Atelier : «L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé?». The Dark Side Of The

Rewics (04 mai 2011) - Atelier : «L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé?». The Dark Side Of The Rewics (04 mai 2011) - Atelier : «L'informatique dans les nuages (cloud computing) : vraie révolution ou pétard mouillé?». The Dark Side Of The Cloud. Robert Viseur (robert.viseur@cetic.be) Qui suis-je?

Plus en détail

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation

Plus en détail

Dans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des Malwares. Hamdi Tbourbi (RT4)

Dans le cadre de SECURIDAY 2010. Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des Malwares. Hamdi Tbourbi (RT4) Dans le cadre de SECURIDAY 2010 Et sous le thème de Computer Forensics Investigation SECURINETS Vous Présente l atelier : Analyse des Malwares Chef Atelier : Hamdi Tbourbi (RT4) Asma DHAYA (RT5) Salmen

Plus en détail

PROGRAMME DE FORMATION EN INVESTIGATION NUMERIQUE

PROGRAMME DE FORMATION EN INVESTIGATION NUMERIQUE PROGRAMME DE FORMATION EN INVESTIGATION NUMERIQUE Aziz Da Silva WWW.AZIZDASILVA.NET Rédaction Nom Fonction Version Date Notes Aziz DA SILVA Consultant Senior En 1.0 21/09/14 Version Initiale Stratégies

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

Introduction aux antivirus et présentation de ClamAV

Introduction aux antivirus et présentation de ClamAV Introduction aux antivirus et présentation de ClamAV Un antivirus libre pour un système libre Antoine Cervoise ClamAV : http://www.clamav.net/ Plan Le monde des malwares Historique Les logiciels malveillants

Plus en détail

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST 2012. Industrie Services Tertiaire

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST 2012. Industrie Services Tertiaire Retour d expérience sur les investigations d attaques APT David TRESGOTS 13 juin 2012 Forum Cert-IST 2012 page 1 Sommaire Petits rappels au sujet des APT Attaque APT : Scénario «type» Investigation d une

Plus en détail

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés Présentation Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés BÉNÉFICES Un accès à des informations plus précises qui permet une protection renforcée grâce à l analyse

Plus en détail

Quels problèmes, quelles solutions?

Quels problèmes, quelles solutions? WISG 2015 : 3 Février Cybercriminalité, Cyber-menace et entreprise numérique Quels problèmes, quelles solutions? Sommaire Le contexte Global Le Système d Information : dépendance, complexité La menace

Plus en détail

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Présentation Cisco Advanced Malware Protection Prévention, détection, riposte et correction : la solution concrète contre les intrusions LES BÉNÉFICES Obtenez des renseignements inédits sur les menaces

Plus en détail

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Attention, menace : le Trojan Bancaire Trojan.Carberp! Protégez votre univers L aveugle ne craint pas le serpent Attention, menace : le Trojan Bancaire Trojan.Carberp! Attention, menace : le Trojan Bancaire Trojan.Carberp! Voici un exemple de contamination

Plus en détail

Menaces de type logiciels malveillants

Menaces de type logiciels malveillants Menaces de type logiciels malveillants Laurent Butti - Orange 1 of 22 Agenda Introduction Historique Quelques logiciels malveillants marquants Motivations Conclusions 2 of 22 Introduction Virus Un logiciel

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

10 conseils infaillibles pour garantir la sécurité de votre activité. your

10 conseils infaillibles pour garantir la sécurité de votre activité. your 10 conseils infaillibles pour garantir la sécurité de votre activité on en keep top your 10 conseils infaillibles pour garantir la sécurité de votre activité Avec l évolution et le développement constant

Plus en détail

Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com

Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com OSSIR - RéSIST - Avril 2009 Philippe Bourgeois Plan de la présentation L année 2008 du Cert-IST en 3 chiffres clés Les phénomènes majeurs

Plus en détail

VISION : MULTILAYER COLLABORATIVE SECURITY *

VISION : MULTILAYER COLLABORATIVE SECURITY * VISION : MULTILAYER COLLABORATIVE SECURITY * COORDONNER LES SYSTÈMES DE PROTECTION POUR ÉLEVER LE NIVEAU DE SÉCURITÉ GLOBALE ET RÉPONDRE AUX ATTAQUES LES PLUS ÉVOLUÉES * La sécurité collaborative multi-couches

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Sécurité Informatique

Sécurité Informatique Sécurité : Sécurité informatique (Support de cours) R. MAHMOUDI (mahmoudr@esiee.fr) w 1 Sécurité Informatique Plan du cours - Introduction - Risques & Menaces - Vulnérabilités des réseaux - Firewall -

Plus en détail

Un guide PROBLÈMES DE MESSAGERIE 5 FAITS QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LES MENACES DE MESSAGERIE

Un guide PROBLÈMES DE MESSAGERIE 5 FAITS QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LES MENACES DE MESSAGERIE Un guide PROBLÈMES DE MESSAGERIE 5 FAITS QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LES MENACES DE MESSAGERIE Même avec les avancées actuelles en matière de communication en ligne, les

Plus en détail

NETTOYER ET SECURISER SON PC

NETTOYER ET SECURISER SON PC NETTOYER ET SECURISER SON PC Ou comment assurer une longue vie à son ordinateur Lors de l utilisation de votre PC au fil du temps vous serez sans aucun doute confronté aux virus, vers, spyware, adware,

Plus en détail

Les botnets: Le côté obscur de l'informatique dans le cloud

Les botnets: Le côté obscur de l'informatique dans le cloud Les botnets: Le côté obscur de l'informatique dans le cloud Par Angelo Comazzetto, Senior Product Manager Les botnets représentent une sérieuse menace pour votre réseau, vos activités, vos partenaires

Plus en détail

Les menaces informatiques

Les menaces informatiques Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une «attaque» est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel

Plus en détail

Logiciels malveillants

Logiciels malveillants Logiciels malveillants Jean-Marc Robert Génie logiciel et des TI Plan de présentation Introduction Listes des logiciels malveillants Définitions et principales caractéristiques Virus détails Ver détails

Plus en détail

Solutions de sécurité de la messagerie Websense. Sécurité de la messagerie

Solutions de sécurité de la messagerie Websense. Sécurité de la messagerie Sécurité de la messagerie Email Security Hosted Email Security Hybrid Email Security Solutions de sécurité de la messagerie Sécurité de la messagerie dans le monde du Web 2.0 La sécurité de la messagerie

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté.

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté. Septembre 2015 Depuis quelques mois, les entreprises françaises sont la cible d attaques informatiques utilisant des logiciels malveillants 1 (ou malwares), dont le but est de réaliser des opérations bancaires

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates! Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

«Firefox, Le navigateur Web le plus sûr»

«Firefox, Le navigateur Web le plus sûr» «Firefox, Le navigateur Web le plus sûr» Création et déploiement d un Rootkit pour Firefox 3.0 Nicolas Paglieri www.ni69.info 11 mai 2009 «Firefox, Le navigateur Web le plus sûr». Tels sont les propos

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I PHISHING/PHARMING Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I Livre blanc réalisé par le Dr Patrice Guichard Le Phishing Si le «phishing» n est pas à proprement parlé une technique

Plus en détail

Protection pour site web Sucuri d HostPapa

Protection pour site web Sucuri d HostPapa Protection pour site web Sucuri d HostPapa Prévenez et nettoyez maliciels, listes noires, référencement infecté et autres menaces de votre site web. HostPapa inc. 1 888 959 PAPA [7272] +1 905 315 3455

Plus en détail

CONDITIONS PARTICULIÈRES SERVICE CDN INFRASTRUCTURE Version en date du 18/03/2013

CONDITIONS PARTICULIÈRES SERVICE CDN INFRASTRUCTURE Version en date du 18/03/2013 CONDITIONS PARTICULIÈRES SERVICE CDN INFRASTRUCTURE Version en date du 18/03/2013 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales de service d OVH, ont pour

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

L Agence Nationale de la Sécurité des Systèmes d Information

L Agence Nationale de la Sécurité des Systèmes d Information L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009 www.certa.ssi.gouv.fr Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur

Plus en détail

Vulnérabilités et cybermenaces des SI modernes

Vulnérabilités et cybermenaces des SI modernes Vulnérabilités et cybermenaces des SI modernes CNIS Event, 1 er juillet 2014 Frédéric Connes Frederic.Connes@hsc.fr 1/16 Plan! Caractéristiques des SI modernes! Recours de plus en plus fréquent au cloud

Plus en détail

Solutions McAfee pour la sécurité des serveurs

Solutions McAfee pour la sécurité des serveurs Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez

Plus en détail

Comment choisir une suite de sécurité?

Comment choisir une suite de sécurité? Comment choisir une suite de sécurité? Alors que les menaces sur le web sont toujours bien présentes, un antivirus ou une suite de sécurité peuvent vous aider à surfer ou échanger plus tranquillement.

Plus en détail