Panorama de la cybercriminalité année 2008
|
|
- Antoinette St-Pierre
- il y a 8 ans
- Total affichages :
Transcription
1 Panorama de la cybercriminalité année 2008 version b
2 Le CLUSIF : agir pour la sécurits curité de l informationl Association sans but lucratif(création au début des années 80) > 600 membres (pour 50% fournisseurs et prestataires de produitset/ou services, pour 50% RSSI, DSI, FSSI, managers ) Partage de l information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le «réseau», faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer 2
3 La dynamique des groupes de travail Documents en libre accès Traductions (allemand, anglais ) Prises de position publiques ou réponses à consultation Espaces d échanges permanents : MEHARI, Menaces, RSSI 3
4 Des actions en région, une collaboration à l international 4
5 Objectifs du panorama: Apprécier l émergencede nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspectivedes incidents qui ont défrayé la chronique Englober la criminalitéhaute technologie, comme des atteintes plus «rustiques» 5
6 Contributions au panorama 2008 Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI AIG Europe Best Practices-SI HSC Kroll Ontrack McAfee Orange SNCF Websense Direction Centrale de la Police Judiciaire (OCLCTIC) Gendarmerie Nationale Parquet Général, Cour d Appel de Versailles Sûretédu Québec Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail 6
7 Sélection des événements médias Illustration d une émergence, d une tendance, d un volume d incidents. Cas particulier Impact ou enjeux, Cas d école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias 7
8 Retour sur le panorama 2007 Mondes virtuels : l appât du gain Arrêtée pour avoir tuéson mari virtuel Divorce réel après un adultère virtuel Perturber, déstabiliser Attaques en réputation Condamnation CastleCops Le président de la F1 dans une vidéo SM Test de carding sur des œuvres caritatives Le hacking pour focaliser l attention? Déforestation brésilienne (hacking et modification des permis d abattage) Espionnage industriel Un cadre d un fabricant de pneumatiques français tente de revendre des informations àun concurrent Le cyber-espionnage devient B2B Vente de secrets industriels d un constructeur d avions français Réseaux sociaux, opportunités de malveillance/renseignement Procès Josh dans l affaire du suicide de l adolescent Confer infra 8
9 Retour sur le panorama 2007 Sophistication des attaques Kraken encore plus performant que Storm Icann réagit face aux Domain tasters Encore sites web découverts comme contaminés par iframe Enjeux malveillants sur le ecommerce Fraude aux cartes bancaires via Internet Multiples arrestations en Roumanie Escroqueries via les sites d enchères Evocation de faits marquants «Cyber-guerre» Estonie La Lituanie, le Tibet, Radio Free Europe, coupure du GSM en Afghanistan, etc. Cyber-attaques «chinoises» L inde accuse la Chine Enjeux de sécurité sur les infrastructures SCADA CIA évoque des blackouts électriques suite à des cyber-attaques Piratage du réseau téléphone de la FEMA (Federal Emergency Management Agency, E-U)) Condamnation de l informaticien ayant saboté les feux de circulation à Los Angeles (E-U) 9
10 Webographie /
11 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 11
12 Conférenciers M. François Paget Chercheur de menaces McAfee Avert Labs M. Franck Veysset Expert senior Orange Labs LCL Eric Freyssinet Chargé des projets cybercriminalité Direction Générale Gendarmerie Nationale M. Hervé Schauer Consultant en sécurité des systèmes d information HSC Herve.schauer@hsc.fr M. Pascal Lointier Conseiller sécurité de l information AIG Europe Pascal.lointier@aig.com 12
13 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 13
14 Source: search/download/skoch_rezonance_reputation_ s.pdf?version_id= Web 2.0 & Réseaux Sociaux : les menaces se précisent 14
15 Web 2.0 Une définition parmi bien d autres Le Web 2.0 pourrait être vu comme un réseau social mondial où chaque site participant est acteur du réseau et contribue à rendre acteurs les internautes L utilisateur consulte Thierry Gagnaire L utilisateur interagit 15
16 Réseaux Sociaux Caractéristiques communes Un profil utilisateur Une recherche parmi les utilisateurs Une offre de mise en communication entre utilisateurs Une incitation àdonner de l information Les réseaux sociaux possèdent tous le même fonctionnement : on crée son profil (infos personnelles, photos, centres d'intérêt) et l on invite ses «amis» à nous rejoindre. Skyrock (pour la France), puis Myspace et Facebook sont en tête des plateformes les plus visitées 16
17 Réseaux Sociaux = Partage Tout se partage Partage de vidéos Youtube, DailyMotion Partage de podcasts(fichiers audio) Podemus, Radioblog Partage de photos et de diaporamas Flickr, Fotolia, SlideShare Partage de CV, mise en relation Réseaux généralistes: Facebook, MySpace, Copainsdavant Réseaux professionnels: LinkedIn, Viadeo Réseaux de chercheurs: Scilink Partage de signets(marque-pages Internet) Del.icio.us, Blogmarks Partage d informations et de savoir Wikipédia, AgoraVox «Plus d'un quart des jeunes collaborateurs passent trois heures, quelquefois davantage, sur des sites web tels que YouTube ou MySpace pendant leur temps de travail» (source Clearswift ) 17
18 Réseaux Sociaux Des menaces qui évoluent Année 2005 : «J ai 19 ans, etc.» (j utilise l ). Année 2008 : «J ai 22 ans, etc.» (j utilise LinkedIn) Avant Maintenant Exemple: scam
19 Réseaux Sociaux Des criminels motivés et des opportunistes Malware, Vulnérabilités, Spam, Phishing Vers, virus, Trojan, Widgets «Wall Spam» Attaques XSS, Fichiers «GIFAR»(GIF + JAR) Renseignements, Espionnage Collecte Agrégation Concaténation de Données Atteinte à la Réputation des Entreprises et des Personnes Manipulation, Harcèlement (stalking), Intimidation (bullying) Danger de l indélébilité 19
20 Réseaux Sociaux Menaces ordinaires Malware W32/Koobface.A.worm(MySpace) Propagation lorsqu un usager accède à son compte MySpace Création d une série de commentaires dans les comptes d amis W32/Koobface.B.worm(Facebook) Cible les usagers de Facebook Génération de spam à destination des amis Plus de 25 variantes en
21 Réseaux Sociaux Menaces ordinaires Failles de sécurité de type «Cross Site Scripting» (XSS) Les failles de type XSS peuvent donner la possibilité à un attaquant distant de «voler» la session d un utilisateur ou de mener des attaques de type phishing. Colonne1 FIXED UNFIXED déc-08 1 déc-08 1 déc-08 1 déc-08 1 oct-08 1 sept-08 1 juil-08 1 juin-08 1 juin-08 1 mai-08 1 mai-08 1 mai-08 1 mai-08 1 avr-08 1 avr-08 1 mars-08 1 févr-08 1 févr-08 1 janv-08 1 janv-08 1 Total
22 Réseaux Sociaux Menaces ordinaires Spam Un Canadien, Adam Guerbuez, et sa compagnie Atlantis Blue Capital, sont poursuivis par Facebook Entre les mois de mars et avril 2008, il aurait envoyé plus de quatre millions de messages non sollicités à des usagers du réseau, après avoir frauduleusement obtenu l'accès à des comptes d'utilisateurs Les messages, provenant soi-disant de contacts ou d'autres membres, proposaient notamment de la marijuana médicinale ou des pilules stimulant la virilité Le 28 novembre, il est condamné à payer 873 millions de dollars à Facebook Source images: 22
23 Réseaux Sociaux Menaces ordinaires Phishing & Typo-Squatting Les faux s et les sites miroirs se multiplient. Avec le typo-squattingle fraudeur dépose un nom de domaine proche de celui du site dont il souhaite détourner une partie du trafic. Il espère qu une faute d attention (faute de frappe, lecture trop rapide) entrainera la victime vers le site miroir. 23
24 Réseaux Sociaux Menaces ordinaires Botnet & Social Engineering - Facebot Des chercheurs mettent à disposition une preuve de concept (PoC) démontrant que Facebook peut servir de support à un nouveau type de réseau de machines zombies (botnet) Sous couvert d une application proposant chaque jour une photo du National Geographic, ils utilisent la balise IMG du langage HTML, pour piloter une attaque en DDoS A chaque clic, alors qu une nouvelle photo est affichée, une série de requêtes HTTP est émise par le poste demandeur en direction de sa cible. Malgré l absence de publicité, de nombreux utilisateurs découvrent l application et l installent Ciblant MySpace, des démos semblables avaient été présentées à BlackHat/Defcon en août
25 Réseaux Sociaux Risque pour l individu Les amis d aujourd hui, ne seront pas forcément ceux de demain e-reputation Un député suisse se fait filmer par sa maîtresse, avec son téléphone portable Il rompt avec celle-ci Elle envoie le film à un «ami» qui le transmet ensuite à un journaliste Les médias s emparent de l affaire Il perd son mandat politique ainsi que d autres prérogatives 25
26 Réseaux Sociaux Risque pour l individu Mauvaises rencontres Les adolescents se dévoilent trop sur les sites communautaires Novembre 2008: une jeune fille mineure rejoint un homme qu elle a rencontré sur Internet «soustraction de mineur en état de récidive légale» «atteinte sexuelle sur mineur de 15 ans avec pour circonstance aggravante l'usage de moyens de communication électronique» 26
27 Réseaux Sociaux Risques pour l individu Fausses identités : du jeu à la manipulation On ne compte plus le nombre de faux profils liés à des personnalités politiques ou artistiques Au début 2008, un marocain est condamné à 3 ans de prison pour avoir créé un profil Facebook en usurpant le nom d un membre de la famille royale du roi Mohamed VI. Il est libéré un mois plus tard Se présentant illégitimement comme une journaliste au Monde, Rachel Bekerman, a su se créer un tissu relationnel de plus de 1200 personnes, dont de nombreux journalistes, sans jamais dévoiler son identité 27
28 Réseaux Sociaux Risques pour l individu Divulgation d informations qui peuvent, par ailleurs, s avérer sensibles Les réponses aux «questions mystères»qui permettent la réinitialisation de mots de passe peuvent parfois se retrouver dans les profils créés au titre de tel ou tel réseau social La question mystère protégeant le compte Yahoo de Sarah Palin (septembre 2008) était «Où avez-vous rencontré votre mari?» Réponse: «Wasilla High School» 28
29 Réseaux Sociaux Risques pour l individu (comme pour l entreprise) 29 Amour, doute, incertitude, trahison L employéest monogame, la manière dont il vit sa relation avec l entreprise est en partie émotionnelle. L entreprise quant à elle, est polygame, sa relation àl employéest généralement plus factuelle Mars 2008 : A Cholet, un salariéde Michelin est licenciéaprès avoir postésur Internet des messages dénigrant son employeur. Dans sa lettre de licenciement, Michelin évoque une «obligation de loyauté» envers l entreprise 29
30 Réseaux Sociaux Risques pour l entreprise Atteinte à la réputation Reprise d un reportage TV, mais changement du titre de la vidéo Sa visualisation s en trouve démultipliée Une vidéo montre comment un simple stylo permet l ouverture d un cadenas pour vélos de la société Kryptonite L affaire va prendre des proportions inquiétantes Source: search/download/skoch_rezonance_reputation_ s.pdf?version_id=
31 Réseaux Sociaux Risques pour l entreprise Atteinte à la réputation Jeff Bezos, PDG de la boutique en ligne Amazon : «Si vous rendez vos clients mécontents dans le monde réel, ils sont susceptibles d en parler chacun à 6 amis. Sur internet, vos clients mécontents peuvent en parler chacun à 6000 amis» Créer un blog => 2 minutes Indexer un billet => 5 minutes Créer une vidéo avec son téléphone => 10 minutes Mettre la vidéo sur Youtube => 15 minutes Source: 31
32 Réseaux Sociaux Risques pour la Société Entre appel à la violence et web-révolution En France, après les violences urbaines de novembre 2005, des bloggeurs furent interpellés pour «provocation à une dégradation volontaire et dangereuse pour les personnes par le biais d Internet» Même si cette situation se retrouve aujourd'hui en Grèce (décembre 2008), Internet semble plutôt être utilisé comme un outil d information cherchant à remettre en cause, via des vidéos amateurs, les annonces officielles faites par le gouvernement du pays 32
33 Réseaux Sociaux Risques pour la Société Revendications, propagande, façonnage de mythes Septembre 2008 As Sahab, l un des organes de production proche d Al-Qaeda diffuse depuis longtemps ses messages qui se retrouvent ensuite disséminés sur la toile Décembre 2008 Sur Facebook, des centaines d adhésions sont apportées à des groupes glorifiant les parrains de Cosa-Nostra Décembre 2008 YouTube et Twitter se retrouvent au cœur du conflit israélo-palestinien 33
34 Réseaux Sociaux Risques pour la Société Désinformation, activisme, aide au terrorisme Des théories fausses ou fantaisistes et de la désinformation se retrouvent dans certains articles de Wikipedia : Église de Scientologie Machines à voter Diebold Attentats du 11/09/ Des organisations terroristes ont leurs propres «réseaux sociaux» Des groupes d activistes utilisent les réseaux sociaux pour diffuser leurs idées 34
35 Réseaux Sociaux Risques pour la Société Twitter Twitter est un outil de réseau social et de microblogging, qui permet à l'utilisateur de signaler à son réseau "ce qu'il est en train de faire". Il est possible d'envoyer et de recevoir ces updates (mises à jour) par le Web, par messagerie instantanée ou par messagerie numérique On appelle ces updates des tweets (gazouillis en anglais): ils sont courts, d'une longueur maximale de 140 caractères, ce qui permet de mettre à jour son Twitter de manière brève et spontanée Nota: Tout comme pour Facebook ou Myspace, le compte Twitter d un utilisateur peut être piraté. Parmi les récentes victimes de ces attaques citons Britney Spears et Barack Obama 35
36 Réseaux Sociaux Risques pour la Société Diffusion involontaire d informations sensibles Twitter pourrait s avérer très utile à des activités terroristes Les blogs militaires (warblogs) inquiètent aussi les états majors en matière de fuite d informations. Si une image réelle qui ne devait pas être montrée pose problème, une image hors contexte ou truquée en pose un autre 36
37 Les Réseaux Sociaux Les Menaces se Précisent Conclusion Dans un avenir plus ou moins proche, les mondes virtuels et les réseaux sociaux seront amenés àse rejoindre. La frontière entre le ludique et le professionnel s en trouvera réduite. Le danger sera encore plus grand La plupart des offres de «réseautage»sont fondées sur des modèles économiques de profit. Outre les risques de détournement, les données (personnelles) stockées ne risquent-elles pas d être réutilisées à des fins mercantiles? Finlande, 11 novembre 2007, sous le pseudonyme Sturmgeist89 le meurtrier avait posté plusieurs vidéos sur YouTube Finlande, 23 septembre 2008, sous le pseudonyme Wumpscut86 le meurtrier avait posté plusieurs vidéos sur YouTube 37
38 Les Réseaux Sociaux Les Menaces se Précisent Conclusion Points de Vigilance Les menaces ordinaires s adaptent aux réseaux sociaux : les sites communautaires sont, àleur tour, la cible de virus, de spam, de phishing, de vol d identité et de failles de sécurité La «sphère privée»de chaque individus amenuise de jour en jour: On dévoile des pans entiers de sa vie privée (et professionnelle) sans toujours en avoir conscience Sans notre consentement, d autres individus s expriment ànotre sujet ou diffusent des photos Une fois diffusée, l information devient indélébile : elle ne peut plus être supprimée 38
39 Les Réseaux Sociaux Les Menaces se Précisent Conclusion Points de Vigilance L entreprise est aussi vulnérable : En multipliant la communication non institutionnelle, les employés peuvent, volontairement ou non, porter atteinte àl image de marque de leur entreprise et diffuser des informations inappropriées, sensibles ou confidentielles. Par jeu, par intérêt ou par vengeance, des rumeurs ou des campagnes de désinformation peuvent très vite engendrer des pertes financières conséquentes Nos sociétés sont aussi menacées : La propagande et la désinformation peuvent aussi les atteindre Des extrémistes isolés et des groupes de déstabilisation (voire terroristes) peuvent recruter des adeptes, s exprimer et trouver des information sensibles qu ils pourront ensuite réutiliser pour porter atteinte à l ordre public 39
40 Webographie «Qu est-ce que le Web 2.0?»: Qu'est ce que les réseaux sociaux: Fréquentation des réseaux sociaux: Le Web 2.0 favoriserait la fuite d'informations: 20-favoriserait-la-fuite-d-informations html Ever put your CV on a job site?: Facebook s Virus Reappears, But Facebook's Vaccine Works As Advertised: Antisocial Networks: Turning a Social Network into a Botnet: Un salarié de Michelin licencié pour s'être épanché sur le net: france/2008/12/13/ artfig00580-un-salarie-de-michelin-licencie-pour-s-etre-epanche-sur-le-net-.php Jail for Facebook spoof Moroccan: La justice se penche sur le cas du hacker de Sarah Palin: Israël attaque Gaza sur YouTube: Sur Facebook, les mafiosi sont sympas: AlQaida-Like Mobile Discussions & Potential Creative Uses: A DigiActive Introduction to Facebook Activism: Les comptes Twitter de Britney Spears et d Obama ont été piratés: Le FBI prévient de la venue prochaine du Cyber Armageddon : cyber_armageddon_ Les blogs militaires: 40
41 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 41
42 Plan de l intervention Quand l électronique rejoint l informatique Hacking Mifare, RFID E-passport ColdBoot Attacks Confiance sur Internet BGP, Youtube et routage sur Internet MD5 et faux certificats 42
43 Evolution du hacking? Depuis quelques années, forte évolution du hacking Logique -> physique Mouvement initié il y a plusieurs années Attaques carte à puces Canaux cachés, DPA/SPA PayTV, faux décodeurs, «puces» pirates Desimlockage(iPhone v1 puis v2 ) Consoles de jeux et «modders» Hacking de consoles ; modchips : DS, Xbox, PS2 Defcon et le Lockpicking «All yourlocksare belongto us» Orientation vers des utilisations plus «sérieuses» 43
44 Présentation «hardware» en C3, Berlin, Décembre 2008 Plus de 15 présentations sur une centaine orientées «hardware» RFID, NFC, DECT, GSM, JTAG, WII, Zigbee CanSecWest 2008 (mars) RFID, Réseau Mobitex, Cold boot attacks BlackHat Europe 2008 (mars) Reverse engineering hardware, hacking GSM, Canaux cachés, sécurité physique 44
45 RFID? Croissance forte en 2008 RFID = Radio Frequency Identification Composant généralement passif, mémoire + antenne Alimentation par le lecteur Problème : Quelle sécurité? Besoin de crypto pour assurer la confidentialité (privacy) et la non clonabilité Contrainte matériel (et coût) forte 45
46 NXP : Mifare Classic RFID Annonce faite par le CCC (Chaos Computer Club, Allemagne) le 1/1/2008 : Cassage de l algorithme de chiffrement Mifare: produit de la sociéténxp, destinénotamment àde l authentification sans contact (technologie RFID) Système de transport public (Londres, Perth, Amsterdam..) Cas du système hollandais : 2 types de tickets «Ultralightcard», usage unique : simple mémoire + système sans contact, aucune protection «Classiccard», pour abonnements : idem, mais protection cryptographique des échanges par un algorithme «secret»(crypto1) 46
47 Ultralight card Clonage possible du ticket University of Amsterdam, Pieter Siekerman and Maurits van der Schee Démonstration par un POC (ing. R. Verdult) Programmation d un émulateur RFID Réinitialisation à l état initial après chaque usage «ghostdevice»-emulation d une carte «ultralightcard» source : Proof of concept, cloning the OV-Chip card, ing. R. Verdult 47
48 Classic Card(Mifare Classic) Analyse hardware de puce NXP! Cela ne devrait pas poser de problème (Security by Obscurity???) Mifare internals - source : CCC 2007 Mifare Security Analyse d une carte Mifare Classic (Reverse Enginnering, analyse bas niveau de l électronique) 48
49 Mifare Classic: crypto Mais clef secrète de 48 bits et algorithme propriétaire (crypto-1) faible Décorticage de la puce, détection automatique des portes Mifare Crypto-1 vue logique de l algorithme secret - source : CCC 2007 Mifare Security 49
50 Mifare classic Cassage de la puce : extraction de la clef secrète Générateur d aléa faible (16 bits, LFSR-based, dérivé de l heure de lecture) Contrôle du générateur aléatoire Utilisation de FPGA pour calcul $100 de matériel pour une semaine de calcul (non optimisé) -> clonage de RFID possible 50
51 "Producing a fraudulent card remains complex and risky, and manipulating the card is of limited value," added the spokesperson. "It needs a qualified computer specialist to set up, and risks detection by our staff or police." Semiconductor company NXP, which manufactures the MifareClassicchips, claimed that publication of the details hadgone againstthe principlesof responsible disclosure "NXP Semiconductors regrets that the Radboud University Nijmegen has revealed details of the protocol and the algorithmof MifareClassic, as wellas some practical attacks on Mifare Classic infrastructures," said an NXP spokesperson. "A broad publication of detailed information to carry out attacks with limited means is, at thismoment in time, contradictoryto the scientificgoal of preventionand the responsibledisclosureof sensitive information." 51
52 MBTA et RFID Defcon16, «Anatomyof a SubwayHack» Forte médiatisation en août, car la conférence a été interdite Approche très «hacking» incluant la sécurité physique, logique et hardware Analyse du «Charlie ticket» Ticket prépayé, rechargeable Bande magnétique (montant du ticket + checksum) Analyse de la «Charlie Card» Mifare classic récupération de la clef, clonage 52
53 Sécurité par l obscurité La sécurité par l obscurité est généralement une mauvaise idée Principe de Kerckhoffs(1883 ) Principe ok (??) pour la sécuritédu matériel? Attention, cela n est peut-être plus valable en 2008 L industrie doit évoluer sur le sujet car cela est parfois valorisé Notation lors d évaluations Critère Commun 53
54 E-passport? Vous le reconnaissez? Des passants l ont aperçu à Schiphol (Aéroport d Amsterdam) fin septembre 08 54
55 E-Passport et sécurité Arrivée massive des passeports nouvelle génération Biométrique epassport Utilise une puce de type RFID contenant : Nom, date de naissance, numéro de passeport Informations biométriques (photo, empreintes ) Systèmes crypto anti-clonage (optionnels) Signature (intégrité des données) Standard défini par l ICAO (International Civil Aviation Organization) Publication de nombreuses attaques depuis 2005 Reconnaissance du pays àdistance (exemple : message d erreur sur passeport Belge, avril 2008) 55
56 Problème de clonage Cas des epassportsbritanniques : plusieurs démonstrations de lecture puis de clonage ont eu lieu en 2006, 2007 et 2008 Pour la lecture, la clef de chiffrement des données n est pas aléatoire Démonstration de Adam Laurie à divers journaux anglais (06/07) Pour la modification, démonstration en août et octobre 2008 Problème de vérification des signatures -> intégrité des données Pour le clonage, l authentification «active»n est pas/peu utilisée (cas de la majorité des pays) Solution «eclown»sur Nokia 6131 NFC / 6212 NFC 56
57 epassport: problématique Les données sont signées par un certificat numérique La CA appartient au pays générant le passeport Il convient de partager les certificats CA entre pays afin de pouvoir vérifier la validité des signatures (mise en place d une PKI) En octobre 08, seulement 10 pays sur 50 ont acceptéde partager les certificats Et seulement 5 les ont réellement partagés 57
58 Cold boot (1/3) Objectif : accéder à des données normalement secrètes, présentent en mémoire Première publication en février 2008 Pwnie award(bh2008 USA) catégorie Recherche Innovante! Menace concrète Accès à des clefs privées Accès à des clefs de chiffrements (disque par exemple) Condition : Disposer d un PC allumépour mener l attaque (ou en veille «active», voir très récemment éteins) Principe : lire la mémoire du PC après reboot sur un OS maitrisé Reboot sur CD, sur clef USB Extraction de la mémoire, et lecture sur un autre système Le refroidissement de la mémoire permet de conserver les données plus longuement (plusieurs minutes) 58
59 Cold boot (2/3) En pratique L attaque fonctionne bien Accès possible à des données mémoire (normalement protégée par l OS ) L équipe de recherche a développédes algorithmes de recherche de clefs en mémoire efficaces L attaque est très dépendante du type de mémoire La menace : PC en veille, saisie aéroport... Utilisation d une bombe d air comprimé pour geler la mémoire et augmenter ainsi la rémanence Source : 59
60 Cold boot (3/3) Protection simple Eteindre son PC (pas de mise en veille active ) Non, ce n est pas encore la faillite des solutions de chiffrement disque! Des travaux de recherches pour parer ces attaques Effacement de données si extinction / mise en veille Détection du refroidissement anormal du PC Stockage de clef dans les adresses basses de la mémoire (écrasées lors du reboot) Fragmentation des clefs en mémoire et fonction de «hash» Stockage de clef dans des registres processeur (MMX) 60
61 Internet : Confiance? Le modèle Internet est basé sur la confiance Hiérarchie de serveurs DNS Routage entre acteurs (BGP) Utilisation des adresses Dépôt de noms de domaines Système «autogéré» Notion de Réseau Autonome (AS) Gouvernance d internet «net neutrality» Contexte international 61
62 Cartographie de l Internet. Source: wikipedia.org 62
63 Routage sur Internet (comment trouver sa route?) Internet = réseau de réseaux Echange d informations de routage entre acteurs (protocole BGP, routage inter-as) Basésur la confiance : on annonce ses routes et les routes que l on connaît Tout marche bien sauf 63
64 Document officiel émanent du gouvernement du Pakistan et demandant le blocage (interne au pays) de l accès au site Youtube 64
65 BGP et Youtube Affaire de Pakistan Telecom et «nullrouting»de Youtube Le 24 fevrier 2008 : Coupure mondiale de l accès àyoutubesuite à une erreur «nullrouting»d une route plus spécifique et propagation sur Internet PCCW a coupél accès de Pakistan Telecom après détection de l erreur Il s agissait d un accident, mais risque de malveillance sur ce modèle 65
66 BGP et re-routing Affaire Defcon/ Pilosov& Kapela Démonstration lors de la conférence Defcon, aout 2008 Annonce BGP plus spécifique du réseau Defcon Puis re-routage statique transparent Et masquage «MITM»trafic entrant! Ce n est pas une «faille»mais le fonctionnement «normal» de BGP 66
67 BGP et MITM Le réseau 100 déroute le trafic à destination du réseau 200 en annonçant une route BGP plus spécifique. Le réseau 100 reroute alors le trafic de façon statique vers le réseau 200 rendant l attaque très furtive 67
68 PKI, certificat et MD5 Présentation lors du 25C3 (Berlin, décembre 08) «MD5 considered harmful today» Creating a rogue CA certificate Comment? Fabrication d une CSR aux bonnes propriétés Possibilitéde récupérer la signature afin de générer un faux certificat, avec des bonnes propriétés... 68
69 CA impactées Quelques conditions sont nécessaires Repose sur des collisions MD5 CA utilisant SHA-1 à priori ok (pour l instant) Nécessite de prédire la CSR N de série du certificat Date de validité Présentation au CCC : choix de la CA rapidssl Utilisation d une grosse puissance de calcul pour fabriquer la collision MD5 Cluster de 200 PS3 pendant quelques jours 69
70 SSL et Conséquences L attaque permet de faire du «MitM»très avancé Certificat valide! Donc attaque transparente SSL et le modèle des certificats Web commerciaux n a pas pour rôle d offrir une «authentification forte» La majoritédes attaques a lieu sur le poste client L internet ne s effondrera pas encore cette fois-ci 70
71 Conséquences MD5 encore un peu plus affaibli SHA-1 doit immédiatement supplanter MD5 Concours du NIST pour le prochain algorithme de hashage: SHA-3 Processus de sélection des 51 candidats en cours (et déjà quelques éliminations) Objectif : annonce de SHA-3 pour
72 Webographie(1/2) Mifare Security Failures in Secure Devices, Christopher Tarnovsky Side Channel Analysis and Embedded Systems Impact and Countermesures, Job de Haas Mifare Little security, Despite obscurity Smart Cards in Public Transportation: the Mifare Classic Case Principe de Kerckhoffs MBTA Anatomyof a SuwayHack, Defcon16 Cold Boot Attacks Let we remember: Cold Boot Attacks on Encryption Keys Wikipedia : Cold Boot Attack Braving the Cold: New Methods for Preventing Cold Boot Attacks on Encryption Keys 72
73 Webographie(2/2) E-passport THC Clones Biometric epassport- Elvis Presley Passport epassports reloaded EPassport emulator eclown(clonage de epassport sur téléphone Nokia NFC) MD5 MD5 considered harmful 25C3 «Creating a rogue CA Certificate The SHA-3 zoo BGP et YouYube/ reroutagebgp Pakistan hijacks YouTube Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack 73
74 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 74
75 Plan de l intervention Contrefaçon sous toutes ses formes Hébergeurs louches, composante importante des phénomènes criminels sur Internet Les fausses loteries très présentes parmi les escroqueries par pourriel en 2008 Inventivitédes groupes criminels pour faire de l argent : de nouvelles formes de virus SMS, vendre son botnet Recel àl insu de son plein gré 75
76 Contrefaçon Médicaments Cigarettes Musique et vidéo Baskets, hifi De faux anti-virus Des faux matériels Exemple d affaire de contrefaçon médicamenteuse en
77 Contrefaçon d antivirus Encadrés de vert (en haut à gauche), antivirus légitimes, les autres sont «bidons» 77
78 Contrefaçon d antivirus 30 signatures enregistrées en 09/2007, 2100 un an plus tard Pour se diffuser, toutes les techniques sont bonnes, y compris un référencement adapté dans Google Des milliers de victimes pour 40 et dont les cartes sont en fait débitées à de multiples reprises Microsoft dépose plainte contre les «vendeurs»de certains de ces logiciels On ne clique pas Ecran falsifiant une erreur légitime de Windows 78
79 Contrefaçon d antivirus - Mécanisme Alimenter et tromper les moteurs de recherches Inciter les visiteurs àcliquer par des messages alarmistes ou ennuyeux (et c est gratuit!) L utilisateur installe, mais le logiciel détecte tout de suite que quelque chose va mal et qu il faut la version payante pour l éliminer Jusqu àmodifier l affichage dans Google «Google tips» inclus dans la page d accueil de Google, incitant à payer pour le faux antivirus 79
80 Contrefaçon d antivirus - Mécanisme L utilisateur paie 40 euros et ses ennuis ne sont pas terminés Le logiciel continue de l ennuyer Et son compte bancaire est débité plusieurs fois On retrouve encore des liens avec les hébergeurs malhonnêtes que nous évoquerons plus loin 80
81 Contrefaçon de matériels d infrastructure Exemple de contrefaçon de matériel Cisco Fabrication chinoise, en grande quantité de matériel CISCO Ecoulée par des revendeurs connus des acheteurs Y compris auprès de grands comptes américains, pourquoi pas européens? Fév2008 :«Cisco Raider»: $M76 matériels saisis dans +400 saisies Quelques inquiétudes s expriment sur non seulement la qualité, mais aussi la probité des matériels 81
82 Les hébergeurs malhonnêtes Autrefois, prétendument pour préserver la liberté d expression Pour héberger des activités illicites Pour émettre du SPAM, contrôler des botnets Après la mise en sommeil de RussianBussinessNetwork en 2007, 2008 a encore étél année des hébergeurs malhonnêtes Une nouvelle façon de s attaquer àeux est né: la mobilisation de certains acteurs du net 82
83 Atrivo Connu depuis de nombreuses années comme hébergeant des activités malhonnêtes en grand nombre Liens avec de nombreuses autres entités qui assurent la résilience du système (Jart Armin) «Fermé» sous la pression en septembre 2008, mais son activité persiste encore sur Internet 83
84 McColo Etrange adresse postale pour un hébergeur! Articles autour de l affaire McColo 84
85 McColo Une partie de la solution seulement En haut à gauche : statistiques Spamcop le jour de la fermeture En bas à gauche : article sur les effets de la fermeturede McColo sur les transactions CB frauduleuses observées Ci-dessous : statistiques Spamcop aujourd hui 85
86 McColo Était-ce la solution? Une enquête judiciaire était-elle en cours? Aurait-elle dûavoir lieu? Pour collecter des preuves sur place, oui certainement encore que cet hébergeur semble fantomatique L impact est de courte durée, il faudrait une charge systématique et massive des professionnels de l Internet contre cela, c est contraire àla neutralitédu Net alors? Une action coordonnée policière, judiciaire et professionnelle semble nécessaire 86
87 Les fausses loteries (clin d œil à 2007) Continuent d être un problème : Exemples de spam de fausses loteries 87
88 Les fausses loteries Evidemment, il faut payer pour recevoir vos gains La mobilisation des industriels se développe Et pour toutes escroqueries (et autres faits): 88
89 «Ransomware»: vers chinois pour GSM Imaginez vous retrouver votre GSM qui àl allumage vous affiche : prépare 10 euros en crédits de jeu ou je ne marche plus. C est ce qu ont vécu des usagers chinois. Le ver (Kiazha- A), se propage par MMS ou BlueToothet se sert d un réseau de jeux qui utilise les SMS pour communiquer. Le profit encore le profit Copie d écran du ver Kiazha-A 89
90 Vente de services criminels en ligne Un groupe qui vendait le service de son botnet (Loads.cc) fait l objet d une guerre par attaques en DNS de la part de ses concurrents. Page d accueil de loads.cc en janvier
91 Ventes de services criminels en ligne Bannières de publicité pour location d attaques DDoS "Will eliminate competition: high-quality, reliable, anonymous." "Flooding of stationary and mobile phones." "Pleasant prices: 24-hours start at $80. Regular clients receive significant discounts." "Complete paralysis of your competitor/foe." 91
92 Recel àl insu de son plein gré Nul n est à l abri (notamment via botnets) et le «warez» est encore le type de contenu le plus «sympathique» 92
7 avril 2009 Divulgation de données : mise en place du chiffrement au sein des PME
Chiffrementdes données locales des moyens nomades (ordinateurs portables et clés USB) Divulgation de données : mise en place du chiffrement au sein des PME «Premiers» faits marquants Déclarations accrues
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailTout sur la cybersécurité, la cyberdéfense,
Tout sur la cybersécurité, la cyberdéfense, Par Jean-Paul Pinte, Dr en Information scientifique et Technique, cybercriminologue Publié par : pintejp mai 26, 2011 Création d un centre belge pour lutter
Plus en détailClub des Responsables d Infrastructures et de la Production
Club des Responsables d Infrastructures et de la Production LA BRIGADE D ENQUÊTES SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION Intervention du Commissaire Divisionnaire Anne SOUVIRA Le 19 mars 2014
Plus en détailLa sécurité informatique
La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailGUIDE DE L'UTILISATEUR AVERTI
GUIDE DE L'UTILISATEUR AVERTI SOMMAIRE MAILS FRAUDULEUX FRAUDE A LA CARTE BANCAIRE ACHETER SUR INTERNET LES BON REFELEXES Ce que dit la loi 1/ Au titre de l'escroquerie Article L313-1 du Code Pénal «L
Plus en détailDNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS
Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que
Plus en détail1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité
1. Le m-paiement 2. Le régime juridique du m- paiement 3. Le m-paiement et les failles de sécurité 1. Le m-paiement, c est? Définition: ensemble des paiements pour lesquels les données de paiement et les
Plus en détailStratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?
Cyber-sécurité Cyber-crime Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? SIRM Forum 2011 Nov. 9 th, 2011, Pfäffikon Par Alexandre VOISIN, Corporate Insurance & Risk
Plus en détailSécurité des Postes Clients
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin
Plus en détailTrusteer Pour la prévention de la fraude bancaire en ligne
Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions
Plus en détailDéfis engendrés par la criminalité informatique pour le secteur financier
Défis engendrés par la criminalité informatique pour le secteur financier Patrick Wynant et Nicole Dhaemer, Febelfin CRIDS B-CCENTRE - 21 juin 2013 Cybercriminalité Focus sur la collaboration entre la
Plus en détailIntégrer l assurance dans la gestion des risques liés à la sécurité des données
Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Plus en détailPrésenté par : Mlle A.DIB
Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans
Plus en détailSÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes
SÉCURITÉ, BANQUE ET ENTREPRISES Prévention des risques de fraudes SECURITÉ, BANQUE ET ENTREPRISES PRÉVENTION DES RISQUES DE FRAUDES Les moyens modernes de communication et les systèmes informatiques des
Plus en détailBilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com
Bilan 2008 du Cert-IST sur les failles et attaques www.cert-ist.com OSSIR - RéSIST - Avril 2009 Philippe Bourgeois Plan de la présentation L année 2008 du Cert-IST en 3 chiffres clés Les phénomènes majeurs
Plus en détailSécurité de l information
Petit Déjeuner Promotion Economique Sécurité de l information 25 novembre 2011 Etat des lieux dans les PME Question Quel est votre degré de confiance dans la securité de l information de votre entreprise?
Plus en détailIDENTITÉ NUMÉRIQUE ET E-RÉPUTATION
Parce qu Internet est un espace public où les données publiées non protégées sont accessibles à tous, voici des conseils pour gérer au mieux votre image sur Internet! IDENTITÉ NUMÉRIQUE ET E-RÉPUTATION
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailDécouvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE
Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à
Plus en détailDenis JACOPINI est l auteur de ce document. Il est joignable au 06 19 71 79 12 et sur conferences@lenetexpert.fr
est l auteur de ce document. Il est joignable au 06 19 71 79 12 et sur conferences@lenetexpert.fr autorise sans limite la lecture de ce présent document et la diffusion de ses coordonnées, mais, sans consentement
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailPrésentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.
Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche
Plus en détailDNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet
DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation
Plus en détailFORMATION PROFESSIONNELLE AU HACKING
FORMATION PROFESSIONNELLE AU HACKING BRIEFING Dans un monde où la science et la technologie évolue de façons exponentielle, les informaticiens et surtout les administrateurs des systèmes informatique (Réseau,
Plus en détailRéseaux Sociaux. (en Anglais Social Network)
Réseaux Sociaux Réseau social, locution Site internet qui permet aux internautes de se créer une page personnelle afin de partager et d'échanger des informations et des photos avec leur communauté d'amis
Plus en détailSécurité. Tendance technologique
Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction
Plus en détailPeut-on faire confiance au CLOUD Computing? Sécurité physique du CLOUD
Peut-on faire confiance au CLOUD Computing? Sécurité physique du CLOUD Colloque Parlementaire Paris, Pascal LOINTIER Président du CLUSIF Conseiller sécurité de l information, CHARTIS Points de vigilance,
Plus en détailMenaces du Cyber Espace
Menaces du Cyber Espace Conférence 02-04-2014 David WARNENT Police Judiciaire Fédérale Namur Regional Computer Crime Unit Faits Divers Tendances Social Engineering Hacktivisme Anonymous et assimilés Extorsions
Plus en détailIntroduction sur les risques avec l'informatique «industrielle»
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction sur les risques avec l'informatique «industrielle» Paris,
Plus en détailBANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE
BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE VIRUS SPAM PHISH NG INTERNET WIFI Les risques informatiques aujourd hui L environnement de la cybercriminalité est toujours en forte progression
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailCybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012
Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 1 INTRODUCTION La sécurité informatique: quelques chiffres Internet a crée 700.000 emplois sur les 15 dernières années
Plus en détailConseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.
Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking. Face à la recrudescence des actes de malveillance et des opérations frauduleuses liés à l utilisation d Internet,
Plus en détailISEC. Codes malveillants
ISEC s malveillants Jean Leneutre jean.leneutre@telecom-paristech.fr Bureau C234-4 Tél.: 01 45 81 78 81 INF721, 2011-12. Page 1 q malveillant («malware» ou «rogue program») Ensemble d instruction permettant
Plus en détailS1-2014. Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.
www.alliacom.com Catalogue des Formations Sécurité S1-2014 Menu P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.10 Avec ce nouveau catalogue 2013, Alliacom souhaite partager avec vous vingt
Plus en détailATELIER : Développer ses réseaux un atout pour votre recherche de stage ou d emploi
ATELIER : Développer ses réseaux un atout pour votre recherche de stage ou d emploi 1 Quel est l objectif? 2 Qu est-ce qu un réseau? 3 Qu est-ce qu un réseau? Ensemble de personnes qui sont en contact
Plus en détailLes risques HERVE SCHAUER HSC
HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est
Plus en détailMSP Center Plus. Vue du Produit
MSP Center Plus Vue du Produit Agenda A propos de MSP Center Plus Architecture de MSP Center Plus Architecture Central basée sur les Probes Architecture Centrale basée sur l Agent Fonctionnalités démo
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailLa payement par Carte Bancaire sur Internet
Une documentation Côtière Informatique Mise à jour du 06/11/2012 Sommaire : La payement par Carte Bancaire sur Internet 1) Préambule page 1 2) Historique page 1 3) Une situation actuelle anormale page
Plus en détailSolution de sauvegarde pour flotte nomade
Solution de sauvegarde pour flotte nomade > PRÉSENTATION D OODRIVE > Les enjeux LA SOLUTION > La solution AdBackup Laptop > Sécurité et options de protection > Monitoring et services > Hébergement (mode
Plus en détailSolutions de sécurité des données Websense. Sécurité des données
Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise
Plus en détailDe plus en plus de gens font leurs achats sur Internet, et l offre de produits et services en ligne est grandissante. Les moyens de paiement se
De plus en plus de gens font leurs achats sur Internet, et l offre de produits et services en ligne est grandissante. Les moyens de paiement se multiplient également. Voici un aperçu des méthodes les plus
Plus en détailL e-commerce : sécurité et paiements en ligne
L e-commerce : sécurité et paiements en ligne La corde sensible d Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2-29/01/10 Evolution du marché français Evolution du CA B to C en milliards
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailProgressons vers l internet de demain
Progressons vers l internet de demain Votre ordinateur, par extension votre système d information d entreprise, contient une multitude d informations personnelles, uniques et indispensables à la bonne
Plus en détailLa cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012
La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012 Jorick Guillaneuf, chargé d études statistiques à l ONDRP DOSSIER
Plus en détailInternet et Big Brother : Réalité ou Fantasme? Dr. Pascal Francq
Internet et Big Brother : Réalité ou Fantasme? Dr. Pascal Francq Contenu Introduction Traces Google Applications Enjeux Conclusions 2 Contenu Introduction Traces Google Applications Enjeux Conclusions
Plus en détailVirus GPS. Un Ver dans la Tempête
Janvier Virus GPS Plus besoin de surfer sur Internet ou d'ouvrir un fichier attaché bizarre dans un mail pour être infectés par un virus. Risque potentiel concernant les appareils de navigation par satellite
Plus en détailConnaissez-vous vraiment les réseaux sociaux?
Connaissez-vous vraiment les réseaux sociaux? Digigirlz 17.03.2015 Sébastien PETIT, Social Media Lead, Microsoft @sepetit Les usages des français en 2015 84% des français sont des utilisateurs actifs
Plus en détailBibliothèque Esparron en livres. www.esparron-en-livres.com
Les réseaux sociaux Chapitre 1 : Les réseaux sociaux Chapitre 2 : 14 moyens pour être plus visible sur Facebook Chapitre 3 : Comment créer un compte Facebook Chapitre 4 : Statistiques en France Les réseaux
Plus en détailAtelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI?
Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI? 1 Intervenants Pascal LOINTIER CLUSIF (Club de la Sécurité de l Information Français) Président pascal.lointier@clusif.asso.fr
Plus en détailEtat de l art des malwares
http://lepouvoirclapratique.blogspot.fr/ [Tapez un texte] [Tapez un texte] [Tapez un texte] Cédric BERTRAND Juin 2012 Etat de l art des malwares Qu est-ce qu un malware? Pourquoi sont-ils créés? Qui sont
Plus en détailLa prise de conscience de la Cyber Sécurité est en hausse
1 2 La prise de conscience de la Cyber Sécurité est en hausse Les sociétés et les individus sont de plus en plus connectés Cloud Computing Mobile Computing Utilisation génerale des Médias/Réseaux Sociaux
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détail«Obad.a» : le malware Android le plus perfectionné à ce jour
«Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime
Plus en détailCHARTE WIFI ET INTERNET
PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder
Plus en détailBAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J.
BAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J.O du 25/04/2010 Epreuve écrite d admission du lundi 21 juin 2010 de 10h00 à 12h00
Plus en détailInternet et prévention. Communiquer sur la santé sexuelle en direction des jeunes internautes
Internet et prévention Communiquer sur la santé sexuelle en direction des jeunes internautes Journées Annuelles de Santé Publique 1 décembre 2011 I- CONTEXTE : les jeunes français (15-24 ans) et Internet
Plus en détailNETTOYER ET SECURISER SON PC
NETTOYER ET SECURISER SON PC NETTOYER Pourquoi nettoyer son PC? Pour gagner de la place sur votre disque dur Pour accélérer son fonctionnement Pour supprimer tous les logiciels et fichiers inutiles ou
Plus en détailRÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES
LE GUIDE RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES On ne le répétera jamais assez : sans protection, les virus, vers et autres chevaux de Troie peuvent s inviter en moins d une seconde sur votre PC. Même si
Plus en détailSécurité et Consumérisation de l IT dans l'entreprise
Sécurité et Consumérisation de l IT dans l'entreprise C A M P A N A T H É O C A R P I N T E R O F A B I A N G A N I V E T J U S T I N L A P O T R E G U I L L A U M E L A D E V I E S T É P H A N E S A U
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel
ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014 SEMINAIRE DE Joly Hôtel aristide.zoungrana at arcep.bf AGENDA 2 Définitions Les incidents rencontrés par
Plus en détailLexique informatique. De l ordinateur :
De l ordinateur : Lexique informatique CD / Cédérom : CD (Compact Disc) contient des logiciels (dictionnaire, jeux, ) Clavier : permet de taper du texte, de la ponctuation, des chiffres et des symboles.
Plus en détailLes bonnes pratiques des réseaux sociaux. Le guide de la préfecture de Police
Les bonnes pratiques des réseaux sociaux Le guide de la préfecture de Police 5 6 10 11 12 14 15 Sommaire La préfecture sur les médias sociaux Pourquoi? Depuis quand? Où? La ligne éditoriale de la préfecture
Plus en détailConcilier mobilité et sécurité pour les postes nomades
Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de
Plus en détailLa sécurité des systèmes d information
Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence
Plus en détailInternet sans risque surfez tranquillement
Pare-Feu Scam Hameçonnage Pourriel Spam Spywares Firewall Ver Phishing Virus Internet quelques chiffres : Les derniers chiffres de l'arcep (Autorité de Régulation des Communications Electroniques des Postes)
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détailUSERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires
Plus en détailSécurisation des paiements en lignes et méthodes alternatives de paiement
Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude
Plus en détailNotions de sécurités en informatique
Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique
Plus en détailSécuriser les achats en ligne par Carte d achat
Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par
Plus en détailPourquoi choisir ESET Business Solutions?
ESET Business Solutions 1/6 Que votre entreprise soit tout juste créée ou déjà bien établie, vous avez des attentes vis-à-vis de votre sécurité. ESET pense qu une solution de sécurité doit avant tout être
Plus en détailVous n avez aucune installation à faire et aucune mise à niveau ne vous complique la vie. Vous allez adorer votre nouveau site.
Vous souhaitez obtenir plus de clients? Découvrez comment multiplier vos contacts grâce aux 38 millions d internautes français. Aujourd hui il ne suffit plus d avoir un site internet. Il faut un site avec
Plus en détailChaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité.
400,000000 Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité. Principal vecteur d attaque des cybermalfaiteurs : les sites Web, y compris les sites légitimes infectés
Plus en détailspam & phishing : comment les éviter?
spam & phishing : comment les éviter? Vos enfants et les e-mails en général Il est préférable que les très jeunes enfants partagent l adresse électronique de la famille plutôt que d avoir leur propre compte
Plus en détailPolitique Utilisation des actifs informationnels
Politique Utilisation des actifs informationnels Direction des technologies de l information Adopté le 15 octobre 2007 Révisé le 2 juillet 2013 TABLE DES MATIÈRES 1. OBJECTIFS... 3 2. DÉFINITIONS... 3
Plus en détailQuestionnaire aux entreprises
Questionnaire aux entreprises Septembre 2011 INTRODUCTION Dans le cadre des activités de Ra&D de l Ecole d Ingénieurs et d Architectes de Fribourg, le projet d observatoire national (NetObservatory) pour
Plus en détailUne nouvelle approche globale de la sécurité des réseaux d entreprises
Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles
Plus en détailCharte d installation des réseaux sans-fils à l INSA de Lyon
Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailAttention, menace : le Trojan Bancaire Trojan.Carberp!
Protégez votre univers L aveugle ne craint pas le serpent Attention, menace : le Trojan Bancaire Trojan.Carberp! Attention, menace : le Trojan Bancaire Trojan.Carberp! Voici un exemple de contamination
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détail«Marketing viral ou ramdam marketing» BUZZ MARKETING
«Marketing viral ou ramdam marketing» BUZZ MARKETING NOTIONS DE BASE «Quizz» Street marketing Tribal marketing Ethno marketing Guerrilla marketing Marketing direct Marketing viral ROI UGC KPI SML BAO RS
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailAgence web marketing Pourquoi une agence de web marketing? Définition du web marketing.
Agence web marketing Pourquoi une agence de web marketing? Définition du web marketing. Internet est la plus grande vitrine imaginable pour présenter et vendre des produits et des services. En permanence
Plus en détailLe BYOD, risque majeur pour la sécurité des entreprises
Le BYOD, risque majeur pour la sécurité des entreprises Jean-Marc ANDRE Uniwan.be SPRL 1 Illustrated by 2 1 Prehistory 1936-99 Hacker Challenge Be known as the Virus author Leave a trace in IT History
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailLa haute disponibilité de la CHAINE DE
Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailSafersurfing Sécurité sur les réseaux sociaux
Safersurfing Sécurité sur les réseaux sociaux En collaboration avec École et TIC Mentions légales Éditeur Auteur Photos educa.ch Prévention Suisse de la Criminalité www.skppsc.ch büro z {grafik design},
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détailSécurité de la ToIP Mercredi 16 Décembre 2009. CONIX Telecom eric.assaraf@conix.fr
Sécurité de la ToIP Mercredi 16 Décembre 2009 CONIX Telecom eric.assaraf@conix.fr Téléphonie sur IP vs téléphonie classique Quel est le niveau de sécurité de la téléphonie classique? 2 La différence c
Plus en détail