Introduction. Le «Phénomène Sécurité» Aperçu sur ses origines, acteurs et dégâts

Transcription

1 Introduction Le «Phénomène Sécurité» Aperçu sur ses origines, acteurs et dégâts

2 Introduction Générale Succès d Internet Interconnexion INTERNET Standardisation Modèle OSI Modèle TCP/IP Forte intégration Intranet/Extranet ENJEUX CONSIDERABLES: Economiques( Commerce électronique) Scientifiques/Culturels Sociaux/Politiques Centre névralgique de l émergente SMI Mais «Espace Sans Loi» + «Difficulté de retraçage» =IMPUNITE Enrichissement Enrichissement Abusif d application, forte intégration, ouverture Uniformisation UNIX, Windows, OSX, LINUX Réseaux propriétaires XNS, SNA, IPX, UCP, X25 AT, Kermi, pronet, JTMP Société mondiale des intrus HACKERS (Challenge) Criminalité organisée (Black Hats) Terrorisme ( Warefare ) Espionnage (Outil) Systèmes dédiés Systèmes et application propriétaires 2

3 Evolution du hacking Nombre d Intrusions Exploiting Known Vulnerabilities Spyware Sweepers DDOS Back Doors Sniffers Disabling Audits Packet Forging/ Spoofing Sophistication des outils de Hacking Self Replicating Code Password Guessing Password Cracking Connaissances Techniques requises 3

4 Le monde des «hacker» Catégories de hackers Le jargon informatique définit différentes catégories de hackers en fonction de leur légalité ou de leur nuisance dans les réseaux informatiques : 1. Les chapeaux blancs - ou white hats : consultants en sécurité, administrateurs réseaux ou cyber-policiers, ils ont un sens de l'éthique et de la déontologie. 2. Les chapeaux gris - ou grey hats : s'ils n'hésitent pas à pénétrer dans les systèmes sans y être autorisés, ils n'ont pas pour but de nuire. C'est souvent l'«exploit informatique» qui les motive, une façon de faire la preuve de leur agilité. 3. Les chapeaux noirs - ou black hats : créateurs de virus, cyber-espions, cyberterroristes et cyber-escrocs, eux, sont nuisibles et n'ont aucun sens de l'éthique. Ce sont eux qui correspondent alors à la définition de «pirates». 4

5 Le monde des «hacker» L'éthique hacker est codifiée (par Steven Levy ) selon les principes suivants : Toute information est par nature libre. Ne pas se fier à l'autorité, promouvoir la décentralisation. Les hackers peuvent se juger par leurs prouesses, non par d'autres hiérarchies sociales (ce qui permettra à un jeune prodige d'une dizaine d'années de rejoindre le groupe). Art et beauté peuvent être créés avec un ordinateur. Les ordinateurs peuvent changer et améliorer la vie. 5

6 Le monde des «hacker» Le but du hacking est divers. Selon les individus (les "hackers"), on y retrouve :. Vérification de la sécurisation d'un système.. Vol d'informations (fiches de paye...).. Terrorisme.. Espionnage "classique" ou industriel.. Chantage.. Manifestation politique.. Par simple "jeu", par défi.. Pour apprendre.. Etc. 6

7 Quelques affaires d escroquerie, «qui ont fait du Bruit» Espionnage économique - Aux Etats-Unis ( 2005): une cadre de l entreprise BES (Business Engine Software Corporation), reconnaît avoir planifié l intrusion du système informatique d un concurrent (NiKU). Pendant 10 mois, des données de NIKU auraient ainsi été copiées par BES, pour en tirer un profit commercial. - Suède (2005) : un consultant informatique hongrois est condamné à 3 ans de prison pour espionnage industriel. De mars 2002 à juin 2004, il s était introduit dans les systèmes informatiques de la société de téléphonie Ericsson et avait copié frauduleusement des informations à caractère industriel secrètes (codes sources utilisés dans les téléphones mobiles de Ericsson, et des données militaires secrètes). le pirate a expliqué qu en réalité, il voulait montrer les failles de sécurité du système de Ericsson et obtenir un emploi dans cette entreprise. Mais le juge a récusé cette thèse (il avait un autre plan : vendre au plus offrant sur Internet les données auxquelles il avait accédé, car il n avait pas contacté l entreprise pour proposer sa candidature). Vol de données / Chantage extorsion racket sur Internet : - Jugement d un intrus pour Vol de code source Microsoft (périmé), juin L outil «Pgpcode»r, utilisé pour le rançonnage, via la prise de fichiers en otage (01net, du 3 juin 2005) - Apparition d'un virus rançonneur (dépêche AFP, du 1 juin 2005) Cyberterorisme : - usurpation de numéros de téléphones 7

8 Quelques TENDANCES du «hacking» De plus en plus d attaques contre l intégralité d infrastructures Les attaques des Black-Hats concernent des réseaux entiers (BotNets) et non plus des ordinateurs isolés. Il faut s'attendre aussi à une augmentation rapide d'attaques sur les serveurs d infrastructures : Serveurs DNS (responsables de la correspondance entre noms de domaine et d adresses IP : les utilisateurs Internet peuvent alors être déviés vers des serveurs manipulés pour des Attaques), Serveurs s (vol d adresses s pour le phishing),. Attaques ciblées contre des entreprises Beaucoup plus d attaques sur les systèmes informatiques des entreprises avec pour but d escroquerie. En 2004 déjà, 16% des attaques ciblées ont visé des applications de commerces électroniques ce qui correspond à une augmentation de près de 400 pour cent par rapport à l'année précédente ( vol d informations de cartes de crédit et d'autres données financières sensibles). Commerce du «hacking» : Une claire tendance vers la professionnalisation et la commercialisation de la criminalité sur Internet a été observée : Les auteurs des attaques ciblées ne sont plus des crackers isolés, mais plutôt des organisations criminelles. Les crackers et les auteurs de virus travaillent conjointement avec des criminels et se font payer pour attaquer des sites de concurrents de commanditaires malhonnêtes. Régionalisation des codes malicieux Les intrus utilisaient surtout l anglais dans les courriers électroniques «minés», mais une forte tendance vers l utilisation de textes germanophones et français a été observée et très bientôt l arabe. 8

9 RADIOSCOPIE D UNE INTRUSION: 2 PHASES Phase I Attaques P A S S I V E S S O N D A G E E S P I O N N A G E «Sniffeurs, KeyLoggers» INTERNET Semi-Automatique Exploits spécifiques INTERNET Automatiques Récolte de Passwords Récolte de séquences à Rejouer.. Sondage automatisé (robots) de TOUTES les Failles connues Social ENGINEERING 9

10 RADIOSCOPIE D UNE INTRUSION: 2 PHASES ANALYSE Des FAILLES DECELLEES Edification «Réfléchie» TEST sans risque et le Temps qu il faut Attaques Combinées et Bien Planifiées 10

11 RADIOSCOPIE D UNE INTRUSION: 2 PHASES Phase II Attaques A C T I V E S N O C I V E Atteinte à - la Confidentialité du SI, - l Intégrité du SI - la Disponibilité du SI - Autorisation, Non-Repudiation, Compatibilisation (Log) Atteinte à la CONFIDENTIALITE : - Vol (lecture) de Données, via l Implantation d outils de capture de données (Key Loggers : capture des frappes de clavier, Sniffeurs : capture des données en transit sur le réseau,, Canaux Cachés (entités d espionnage) Atteinte à l INTÉGRITÉ : Modification (non detectable) des Données Atteinte à la DISPONIBILTE : IMMOBILISATION sélective ou GLOBALE de Serveurs ou/et du RESEAU (DENI DE SERVICE ) Atteinte aux mécanismes d autorisation/ Non-répudiation : Usurpation de droits et abus des interlocuteurs Atteinte aux mécanismes de Comptabilisation (log) : Corruption des outils de Log ( effacent leur traces, via l Implantation de codes malicieux (Chevaux de Troie,..).0 11

12 Quelques attaques 1- Phishing 2- Malwares 3- Exploitation de faille 4- DoS / DDoS 5- Bot / BotNet 12

13 Le phishing Abus de l'utilisateur via des courriers envoyés massivement (spams), et apparaissant comme authentiques (en utilisant «le nom» d'une institution financière ou d'un site commercial connu Demande aux destinataires, sous différents prétextes, de mettre à jour leurs paramètres de comptes «Internet» ou bancaires, en cliquant sur un lien menant vers un faux site Web ( copie conforme du site de l'institution ou de la banque), où le pirate récupère ces données compromettantes (identités et passwords de comptes, codes de cartes bancaires,..), lui permettant de les utiliser pour détourner des fonds à son avantage ou acheter des produits sur le compte de l utilisateur abusé. 2.8 Milliards de dollars. C est le total estimé par Gartner des fraudes de type Phishing dont ont été victimes les consommateurs américains en

14 Le phishing Adresse apparente Adresse du site De l attaquant Pas de verrou 14

15 Le phishing title: Scam target: Sender: Sender spoofed/hidden? Phish 'punch line' : Scam goal: Phish link method Visible link: Link 'masked'? Actual link to 'Update or verify your account informations' VISA credit card owners customer-service@mail.hotmail.com Hidden 'Recently there have been a large number of identity theft attempts targeting US Bank Customers. In order to safeguard your account, we require that you confirm your banking details.' Getting victim's bank account and credit card information URL link mdid=upt Yes Phish website IP: Cas de l USBank 15

16 Le phishing Texte de l 16

17 Le phishing Le faux site 17

18 Le phishing 18

19 Les malwares KeyLogger Ver Virus Bot Dialer Spammer Backdoor Bombe Trojan Spyware Downloader RootKit 19

20 Les malwares En Hollande, la police a arrêté trois jeunes gens (entre 19 et 27 ans) accusés de s être infiltrés dans 1,5 millions de machines, pour les contrôler à l aide d un programme viral dénommé «Toxbot» permettant d intenter des destruction de données et de diffuser des adwares et des spywares Pertes Materielles dues aux Vers/virus ,5 Milliards US $ ,1 Milliards US $ Milliards US $ Milliards $ US $ Source : Computer Economics, 2004 En 2005 : Pour 640 entreprises : 42 Millions US $ Source : enquête FBI/CSI

21 KeyLogger Banque japonaise Sumitomo victime de fraude En mars 2005, on a découvert que les bureaux londoniens de la banque japonaise sont, depuis plusieurs mois, la cible d un gang de pirates. Dans un premier temps, on imagine qu ils ont utilisé un outil (keylogger) logiciel. Quelques jours plus tard, on découvre que ce renifleur de clavier était une solution matérielle, introduite physiquement dans la banque, étant donné l inexistence d une politique d accès et d audit efficaces. 21

22 Exploitation des failles au niveau système d exploitation et au niveau applicatif Atteinte et divulgation de données privées Vol d identité Contrôle total à distance et accès à des données Accès non autorisé à des données confidentielle Détournement de fond Altération de données Effacement de contenu 22

23 Exploitation des failles au niveau système d exploitation et au niveau applicatif Pertes ($) / type d attaque 23

24 Evolution des vulnérabilités Source : National Vulnérability Datrabase Criticité des vulnérabilités découvertes 24

25 DoS ATTAQUE par Déni de service sur un système N ayant PAS appliqué les correctifs de sécurité ( «Patchs») 1 seule Commande Redémarrage (panne) du Système NON «patché» (Contenant des failles) La Sécurité Informatique est avant tout une affaire De CONSCIENCE sur l existence des DANGERS La Sécurité est une affaire de Conscience COLLECTIVE : 25

26 DDoS Exemple: Le fameux Blaster ( Lancé le 11 août 2003, avec infection d environ 2000 ordinateurs par heure) Ciblait à terme un déni de service sur le serveur Microsoft Utilisait une faille dans une partie ancienne de Windows dont le correctif a été publié un mois auparavant (16 juillet 2003) Se réplique par des ports de communication, qu un firewall devrait, par défaut, bloquer A échoué dans l Immobilisation du site Microsoft, mais a constitué : - l un des éléments de la cascade de pannes électriques aux USA! - l un des éléments du défaut d'information au ministère de la santé Français lors de la canicule de 2004! 26

27 DDoS Ver (virus réseau) Octobre 2005 : La police Hollandaise a arrête 3 hommes soupçonnés de diriger un réseau de ordinateurs. Ils se proposaient de mener des attaques DDoS et s intéressaient aux comptes PayPal et Ebay de leurs victimes. Aux Etats-Unis, un homme arrété avait entre juin 2004 et août 2005, louait des réseaux de robots destinés à diffuser du spam ou à mener des attaques DDoS. L homme était aussi rémunéré pour diffuser des adwares. On estime qu il a mis sous contrôle plus de ordinateurs. 27

28 Bot/BotNet Derniére Forme d attaques visant les infrastructures : Combinaison de plusieurs outils d intrusion : Les Robots «Bot/BotNet), (apparus avec les réseaux hauts-débits : ADSL,..) Les robots (Bots) sont des programmes malveillants permettant une prise de contrôle à distance de machines vulnérables afin de les utiliser comme «armada» d attaque ( botnet), sans la connaissance de leurs propriétaires. Durant 2005, On découvrait entre 25 et 50 nouveaux robots chaque jour Pour s implanter, un robot peut être déposé sur la victime par : Un courrier électronique (spam), Un vers ou virus ou un cheval de Troie exploiter des vulnérabilités, des partages ouverts, Le robot s exécute silencieusement sur chaque système piraté et se connecte automatiquement à un serveur IRC prédéfini pour rejoindre son botnet. Chaque système piraté peut alors, être piloté à distance par l attaquant, pour : - Récolter de l information, - Participer à des attaques DDoS, - Servir de relais de spam et/ou de phishing, - diffuser de programmes indésirables (adwares), 28

29 Bot/BotNet Bot = Ver+Troyen+ Porte dérobée («Back-Door») 1- Installation Des Bots, en exploitant des failles INTERNET 21 millions d hôtes se rajoutent à Internet, chaque année 2- Connexion à des Bot C&C (serveurs IRC), Permettant de les «orchestrer» à distance Techniques très évoluées d infiltration et combinaison d outils d intrusion (ver+ KeyLogger + troyen,..) 3- Prise de contrôle Et exploitation Pour des Attaques de MASSE: DDos, Spam, Phishing,..) Bot Evolution vers une quatrième génération de styles d attaques DDOS en à peine 2 ans 29

30 BotNet de DDoS Octobre 2005 : La police Hollandaise a arrête 3 hommes soupçonnés de diriger un réseau de ordinateurs. Ils se proposaient de mener des attaques DDoS et s intéressaient aux comptes PayPal et Ebay de leurs victimes. Novembre 2005 : - Aux Etats-Unis, un homme arrété avait entre juin 2004 et août 2005, louait des réseaux de robots destinés à diffuser du spam ou à mener des attaques DDoS. L homme était aussi rémunéré pour diffuser des adwares. On estime qu il a mis sous contrôle plus de ordinateurs. Octobre 2005 : En Hollande, la police a arrêté trois jeunes gens (entre 19 et 27 ans) accusés de s être infiltrés dans 1,5 millions de machines, pour les contrôler à l aide d un programme viral dénommé «Toxbot» permettant d intenter des destruction de données et de diffuser des adwares et des spywares. 30

31 Dégâts Selon diverses Enquêtes de sécurité FBI, DTI, CSI, ISC2, Moyenne des pertes suite à des incidents cybernétiques en 2004 : - Moyenne par entreprise, en UK = US $ - Total des pertes enregistrées, aux USA = 142 Million $ -En 2005 : Pour 639 entreprises : 130 Millions US $, soit /entreprise (enquête FBI/CSI, 2005) 31

32 Dégâts Mais aussi, des Préjudices «Moraux» 32

33 Dégâts 33

34 Autres attaques Sniff Spoof Man In the Middle Smurf Session hijacking Flooding DNS poisoning Brute force Tempest Social engineering Mail Bombing Buffer Over Flow XSS SQL Injection 34

35 Démarche pratique pour la sécurisation 35

36 La sécurité des systèmes d information Données & Services Disponibilité Non-répudiation

37 Sécurité = Σf i f i dans {Personnel, Organisation, Règles, Procédures, Mécanismes } Charte IDS Politique Sensibilisation Et Formation Test itrusif PROTECTION Antivirale PROTECTION niveau Serveur PROTECTION niveau PCs Audit Securité Phisyque Plan de Recouvrement Gestion d incident FIREWALLS Sauvegarde 37

38 Analyse des risques la gestion du risque s'attache à identifier les risques qui pèsent sur les actifs de l'entreprise, ses valeurs au sens large, y compris, et peut être même avant tout, sur son personnel. Identifier l ensemble des actifs critiques (informations, ressources) Classer les actifs (ressources, informations) Analyser les menaces potentielles Déterminer les Impacts : pertes potentielles 38

39 Système de Management de la sécurité de l information (SMSI) Plan :établir les objectifs conformément aux risques/ exigences (correspondances objectifs / lignes directrices Do : implémenter et opérer les fonctionnalités et procédures Check :gérer les incidents, les erreurs, auditer Act : faire évoluer la politique et les moyens conformément aux besoins 39

40 Audit sécurité Audit de la Sécurité = Audit (Σf i ) = Σ Audit (f i ) Etablissement PLAN DE SECURITE et SCHEMA DIRECTEUR DE SECURITE Mesures Organisationnelles Mesures Techniques Structures organisationnelles et Formation Politique de sécurité Règles de réaction Plan de continuité Mesures Physiques Mécanismes de Protection logiques Mécanismes d Audit 40

41 Défense en profondeur Protéger : le personnel l information sous toutes ses formes le bâtiment les installations les actifs 41

42 Défense multi niveau Périmètre étendu Périmètre Disponibilité Contrôles PC-Firewall Firewall Ressources HIDS Antivirus Politiques de sécurité Annuaires SOAP Firewall Traçabilité OS, application, données Contrôle Traçabilité d intégrité Sauvegarde Gestion d accès Web Firewall Confidentialité Disponibilité IDS Non-Répudiation 42