Vulnérabilité des systèmes informatiques Causes, parades et conséquences

Transcription

1 Cours CEES n 07 Mr Naulleau 18 Novembre 2003 Vulnérabilité des systèmes informatiques Causes, parades et conséquences Introduction Sensibilisation des informaticiens et utilisateurs aux divers risques informatiques et aux conséquences Bogue de l'an 2000 (Y2K) : Centre national du passage à l'an 2000 : Hiérarchiser les risques, dépenses de 120 milliards de francs. Serge Humpich / GIE carte banquaire (Yescard en mode local) Faille dans le système de sécurité des cartes banquaires Capable de leurrer les DAB avec n'importe quel code secret MP3.com, alt.2600 : pirates donnant le système de décryptage DVD Tempêtes décembre 1999 arrêt en chaîne des divers réseaux après EDF Saturation d'aol, Yahoo, e.bay, Amazon.com par des hackers.... I Vulnérabilité des systèmes informatiques, parades A. chiffres Dernières évaluations du CLUSIF (1996) : 13 milliards de francs (1% du budget de l'etat), sinistres : malveillances, risques accidentels, erreurs En augmentation de 5% par an Selon le FBI, 1% des crimes sont détectés et 7% sont déclarés 85% des crimes sont commis par des informaticiens 46% des crimes viennent des services informatiques un hold-up rapporte $, un crime informatique rapporte $ budget informatique entre 1 et 10% de celui des entreprises, et seulement 3% du budget informatique pour la sécurité. B. Exemples 1 million de francs volés avec de fausses cartes de crédit en 1986 un scanner médical déréglé : 3 morts en Espagne en 1990 SOCRATE (SNCF) : des trains virtuels en 1993 Perruque dans les services (éternel!) = utilisation des ressources entreprises pour son comptes personnel Accident d'un Airbus au Mont St Odile causé par l'ambiguïté d'un indicateur de pente en 1992 Pentium : défauts de fabrication en 1995 Création du SEFTI à la Police Judiciaire contre la fraude informatique EDF : prélèvements de francs pour un studio en 1995 Clipper imposé et PGP interdit pour cryptage sur Internet en 1995 Kevin Mitnick traqué pendant deux ans pour hacking Crédit Lyonnais : incendie du centre informatique en 1996 Chantage à la diffusion sur le Net par pirate de numéros de cartes bancaires volées chez CD Universe, chantage à $ en /4/2002 : AG Vivendi, contestation des votes électroniques (20% d'abstention) 25/11/2002 : victimes à la carte bancaire, usurpation d'identité, complice revendant 50$ les données de clients et codes, 2 ans, 2,7 millions de $ Friends Greetings Application, marketing viral, exploite carnet d'adresse SPAM, pourriel

2 21/10/2002 : attaque en déni de service contre noms de domaines. Cyberterrorisme ou action de guerre n'est pas loin utilisation de Wifi non sécurisé : usurpation, captation, brouillage, déni 9/2002 : copie via vidéo et lecteur de cartes bancaires pour fausses CB C. Virus Mars 1986 : Révélés à Securicom Mai 1986 : Réseau SPAN de la NASA attaqué par la CAOS Décembre 1987 : Par Mag Mac, en quelques jours 2000 disquettes devaient survivre jusqu'au 2 Mars 1988 en affichant un message de pub et d'anniversaire avant de s'autodétruire Décembre 1987 : Arbre de Noël sur EARN 13 janvier 1988 : Université Hébraïque de Jérusalem Novembre 1988 : UFR d'informatique de Paris 6 Novembre 1988 : Réseau Internet des USA pour la recherche 1989 : URSS Février 2003 : Virus sur des serveurs virus recensés en 2000 D. 4 risques de vulnérabilité RISQUES de : PROTECTION de la : Copiage sans modifications Confidentialité Modification Intégrité Interruption du service Disponibilité Destruction Pérennité E. 7 sources de vulnérabilité Environnement Matériel Logiciel Fichier Réseau Terminal HOMME

3 Risque de... Protéger la... Environnement Matériel Logiciel Fichier Réseau Terminal Homme Copiage Confidentialité Modification Intégrité Interruption Continuité Destruction Pérennité Micro coupures Parasites Electricité poussières Foudre Incendie Inondation Espionnage Reverse engineering Défauts Piratage Virus Espionnage Pb de MaJ. Vol par usurpation Ecoutes (NSA Echelon) Parasites Ecoute (signaux écrans) Carte bancaire IEM Bogue Bogue Panne Panne Vol Virus Vol Virus Vol Piratage Espionnage Hacker Rumeurs Votes Négligence Grève Destruction Sabotage Parades Alimentations Filtres Site de secours Onduleurs Fibre optique Test Blindage Sauvegarde sur autre support Loi du 1/7/92 Sauvegarde Antivirus Preuve prg Loi du 22/7/92 Sauvegarde Double saisie Accès protégé Cryptage Code autocorrectif Blindage Maillage Accès protégé Blindage écran Contrôles Lois Bunker

4 F. Parades Préventives : doivent diminuer la probabilité des menaces pour empêcher leur réalisation par des mesures de protection. Exemple : codage, bunker, maintenance Palliatives : si malgré tout la menace se réalise, permettent de soustraire les biens par des mesures d'urgence. Exemple : extincteurs, sprinklers Curatives : si on n'a pas pu soustraire les biens permettent de minimiser les conséquences par des mesures de sauvegarde. Exemple : back up, procès G. Explications/ motivations des causes humaines Négligence Fatigue Drogue Sport Malveillance Politique Lucre : Espion industriel Espion étranger Voleur Fraudeur du fisc Maître chanteur Vengeance Hacker Grève, panne social Saboteur, vandale, terroriste Technodélinquance, cybercriminel II Sécurité des systèmes informatiques Protections techniques dont cryptographie Protections juridiques Assurances (dont perte d'exploitation et reconstitution des fichiers) Loi du 6 janvier 1978 : article 29 et 43 alinéa 2 Recommandation de la CNIL du 21 juillet 1981 Loi sur la protection juridique du 1 er juillet 1992 (ex 3 juillet 1985) Loi sur la fraude informatique du 22 juillet 1992 (ex 5 janvier 1988) A. Cryptographie Transposition : CRYPTO CTRPOY Décalage à clef : avec N = 3 FUBSWR Plus sophistiqué : DES (Data Encryption Standard) : une clef secrète connue de A et B : M K(M) RSA (Rivest, Shamir, Adelman) : deux clefs E (clef publique) pour enchiffrer ou encoder D (clef privée) pour déchiffrer ou décoder La factorisation est quasi impossible pour les très grand nombres. n = pq avec p et q premier et ayant par exemple 40 chiffres. Préservation d'un secret : clés du destinataire = B M EB EB ( M ) DB M A publique privée B car M = D B ( E B ( M ))

5 Authentification : clés de l'émetteur = A M DA DA( M ) EA M A privée publique B car M = E A ( D A ( M )) Secret et identification : clés de A et B M DA EB ( DA( M ) DB EA car M = EA( DA( M )) = EA( DB ( EB ( DA( M )))) B. audit sécurité But : fait l'état de la situation : Quels sont les risques? Quelles pertes maximales l'entreprise peut-elle supporter? Quel est le niveau de la sécurité actuelle? Quelles sont les contraintes de l'entreprise? Quel est alors le choix des moyens? Etude : tests, essais, effractions réelles, entretiens Auditionner : L'organisation informatique Un centre de traitement Un service d'étude Le développement d'une application Une application Méthodes : implantées sur micro : AROME, MELISA, MEHARI... C. Plan sécurité Ingénieur sécurité, responsable sécurité Moyens : De prévention, de protection Des modifications de l'organisation Des procédures de secours Des dépenses De la formation Mais : prix de la sécurité et normes! Trouver un optimum entre le coût de la sécurité et le coût de l'insécurité C. Bonnes pratiques avec un micro Faire des sauvegardes régulières, na pas les conserver à côté de la machine Soigner l'alimentation électrique (régulée, stabilisée, batterie, onduleur...) Loin des fenêtres (ergonomie) Ne pas manger ni boire près d'une machine Installer un antivirus et le tenir à jour Préférer parfois une vieille version d'un logiciel à une récente Faire une bonne gestion des bons mots de passe Protéger ses mots de passe : na pas les afficher ni les distribuer largement Ne pas ouvrir des fichiers attachés suspects Pas Internet pour les messages d'importance / Intranet / Internet / Firewall Se méfier de la télémaintenance Avoir un plan de secours, votre back up Vous vous devez de protéger ce qui est confidentiel et ce qui est vital pour...

6 III Vulnérabilité pour la société Intégration de + en + de fonction d'où Complexification Interconnexion de système d'où interdépendance Concentration des décisions d'où incohérence Erreurs de conception ergonomiques A. Pour les individus Stress face aux pannes, micros pannes, aux "flux tendus" Multiplication des contrôles d'identification Nos libertés (de circuler, communiquer, acheter, être citoyen,...) de plus en plus liées aux technologies Perversité par fausse impression de sécurité Exclusions des analphabètes de l'informatique (société duale) B. Pour les entreprises Pertes financières et d'image (crédibilité) Fragilisation de l'organisation (75% se sentent dépendantes de l'informatique dans les entreprises de employés) Automatisation des décision : déresponsabilisation Non maîtrise des logiciels Virtualisation des processus de fabrication C. Pour la société Dépendances technologiques par la concentration des productions Concentrations économiques Espionnage et risque de sabotage Accélération des prises de décision Vote électronique : quelle garantie? Quels risques acceptons-nous? Quelles dépendances acceptons-nous? Disproportions entre causes et effets Panne nous est intolérable Développement d'une nouvelle vulnérabilité Choisir des solutions : + Simples + Intrinsèquement sûres + Non mégalomaniaques, non prétentieuses + Se méfier des boîtes noires prétendument indépendantes IV Conclusion La sécurité doit être pensée dès le départ (comme dans les voitures) Pas d'arrogance de la technique "La panne est consubtancielle à la complexité" (Yves Lasfargue) "De la société de la peine à celle de la panne" "Un colosse aux pieds d'argile"