1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions

Dimension: px
Commencer à balayer dès la page:

Download "1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions"

Transcription

1 4. Sécurité des Réseaux Lecturers: Fabien Duchène, Dominique Vicard Parties: 1. Menace, vulnérabilité, attaques 2. Divers algorithmes et méthodes 3. Sécurité du poste client 1

2 1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions omenaces ovulnérabilité oattaque, exploit ocontre-mesure odurcissement o1.2. Exemples d attaques omalwares oinfrastucture (BGP, DNS, Botnet, DDOS) oidentité (Phishing, Scamming) o1.3. Alertes & informations utiles 2

3 RAPPEL: propriétés de sécurité CIA -integrity: data destruction or alteration -confidentiality: only authorized people can access data -availability: QoS degradation (for another user) AND: -traceability, non-repudiation, privacy 3

4 1.1. Définitions o Menace (threat): évènement qui invalide au moins une propriété de sécurité s il se produit o Vulnérabilité (vulnerability): propriété dans un système qui permet à une menace de se réaliser o Exploitation (exploit) d une vulnérabilité concrétise une ou plusieurs menaces o Attaque(attack): consiste en au moins une exploitation o Contre-Mesure (counter-measure) o Mesure mise en place afin de se protéger contre une ou plusieurs menaces o Durcissement (hardening): ensemble de contre-mesures mises en place dans un système donné afin d assurer les objectifs de sécurité o Politique de sécurité (Security policy) o Ensemble des contre-mesures mises en place dans un système d information en vue d assurer les objectifs de sécurité 4

5 1.1. Vulnérabilités STRIDE (=enjambée, grand pas) - Spoofing: usurpation of a legimitate user credential - Tampering: a user alters data or system process (modification or destruction) - Repudiation: unability to prove a user did an action - Information Disclosure: releasing information of a system object (eg: httpd version) - Denial of Service: the service becomes unavailable for legitimate users - Elevation of Privilege: the hacker illegimitately obtains privileges allowing him to perform additional threats 5

6 1.2. Exemples d attaques Malwares Malware, Worm, Virus, trojan, spyware, adware, rootkit Infrastructure - BGP route hijacking - DNS cache poisoning - DDOS - Botnet Identité - Phishing 6

7 Application - malwares o Malware o MALicious software: generic term o Harm or secretly access data without user consent o Could affect the system performance o Worm: autonomous self-replicating malware o Virus: self-replicates and attachs itself to a process (needs a host) o Trojan: permits performing remote operations. Appears harmless (eg: fake antivirus). o Rootkit: has a privileged access to the system. Hides itself from the OS o Spyware: collects information about user o Keylogger: saves any keyboard input o Adware: display ads regarding to the data retrieved 7

8 Vers (Worms) o Se propage à travers le réseau o Exemple : Internet Worm (1988) o Attaque des systèmes Unix o Se propage par "confiance mutuelle" (Rhost) o Craque /etc/passwd - par dictionnaire (432 entrées) o Utilise un bug dans Finger et dans SendMail o Se duplique sous forme chiffrée 8

9 L histoire de l Internet Worm o Le 2 Novembre 1988, Robert Morris, Jr., un étudiant en Computer Science à l Université de Cornell lance le Worm o En 48h, machines infectées o Dégâts de $250 à $ par site 9

10 Infection : Code Red 10

11 Une fois infecté, quelles conséquences? o Lucky o Tous vos amis Facebook reçoivent sur leur Wall une publicité pour du Viagra recommandée par vous. o Un Mickey masqué traverse votre écran toutes les 15 secondes o Votre machine travaille la nuit pour arroser de spam la planète et vous êtes blacklisté sur tous les serveurs de messagerie du monde. o Unlucky o Votre machine participe à une attaque en DDOS sur les serveurs de la Royal Bank of Scotland ou de l OTAN. o Vous distribuez en P2P des photos et des vidéos pédophiles o La seule solution pour éradiquer le virus est le formatage et vous alliez justement faire un backup pour sauvegarder vos données. o Vous êtes Hadopié sans le savoir 11

12 Infrastructure :Attaques structurelles(1) Asia Pacific - Red Europe/Middle East/Central Asia/Africa - Green North America - Blue Latin American and Caribbean - Yellow Internet est intrinsèquement résilient et distribué Une partie de la sécurité du backbone est basée sur la confiance De nouvelles attaques ciblent ces éléments M 0.2. Parano: mode d'emploi 13

13 Infrastructure :Attaques structurelles(2) M o BGP route hijacking (2008) o Faire croire à un routeur qu on dispose d une route plus performante o Rerouter l ensemble d un traffic vers un réseau «shadow» o DNS cache poisoning (2008) o Injecter dans le cache d un DNS une traduction erronée o Le DNS utilise UDP facile a falsifier Ces vulnérabilités sont structurelles 14

14 Why is it so important to secure DNS? o DNS=a major internet layer o Every communication relies on it: o Browsing, Bank, Search, Social networks o B2B operations 15

15 Attaque DNS Cache Poisoning (1) o T0, Serveur A demande un Serveur B : "Connais-tu l'adresse IP de cette URL là car je ne la connais pas?" o T0+n, Serveur Pirate : "Oui, la voici : adresse-ip usurpée". o T0+N, Serveur B : "Oui, la voici : véritable adresse IP". o T0+x : Serveur A "Merci, j'enregistre cette réponse pour ne plus te la demander à l'avenir". Le pirate répond avant que le vrai serveur DNS ait eu le temps de répondre XMCO 16

16 Attaque DNS Cache Poisoning (2) Fonctionnement normal du DNS XMCO 17

17 Attaque DNS Cache Poisoning (3) Etape 1 : Recherche de réponses avec le bon Id XMCO 18

18 Attaque DNS Cache Poisoning (4) Etape 2 : Empoisonnement par réponse rapide et mise en cache XMCO 19

19 DNS cache poisoning Video: Links:

20 How to prevent fake DNS records? o Ensure DNS replies are made by a DNS server we trust o Ensuring the integrity of DNS replies o Eg: DNSSEC (DNS SECurity Extensions) o DNS replies are SIGNED o Root DNS servers have DNSSEC extensions since July 15 th, 2010 o Problems: o To limit replay attacks, zones & records: signed frequently o CPU load (cryptographic operation) o US root DNS 21

21 DNSSEC record signature algorithms Source: 22

22 DNSSEC deployment 20DNSSEC%20Deployment 23

23 DNSSEC problems & vulnerabilities o Problems: o Certificates distribution o Vulnerabilities: o Original DNSSEC desgin: o Zone enumeration: information disclosure. We normally use split views for segregating DNS replies depending on the network of the DNS client o Bind (2009): DNSSEC cached NXDOMAIN replies (NoneXistent domain) when autorized for recursion and signing for other domains o => carrefully set the allow-recursion for specific networks 24

24 DDOS odistributed DOS (Denial Of Service) o Multiple systems flood one precise system o Ways: obotnet ovoluntarily (thus a DDoS is not necessarily performed WITHOUT the user consent) eg: The Wikileaks revenge! 1 Experienced problems with: DNS, paiement Cause: (EveryDNS, Paypal, ) did shutdown their service only for WikiLeaks 2 Hackers did provide instructions and tools for volunteers to set up a DDoS attack 3 Each volunteer did perform a DoS attack on Mastercard, Paypal, EveryDNS servers time 25

25 DDoS: Attaque Février 2000 o Attaque coordonnée o Impact sur les cours de bourse o Impact sur le chiffre d affaire des sociétés Une preuve de la fragilité de l infrastructure 26

26 Feb 8 th, :50 AM PST * Buy.com -- Web e-tailer knocked offline on the day of its IPO -- swamped by an assault of 800 megabits of data per second. 12:30 PM PST * Stamps.com -- Site proactively takes down its service for 30 minutes as a precautionary measure. 3:20 PM PST * ebay -- Attack severely limits the access to the Web's largest auctioneer until 9 PM PST. 4 PM PST CNN.com -- News portal knocked offline almost two hours, until 5:45 p.m. PST. 5 PM PST * Amazon -- 'Junk traffic' severely curtails access to giant e- tailer for an hour, until 6 PM PST. 6 PM PT * MSN -- Host of Microsoft's portal plagued by denial of service attacks into Wednesday morning. 27

27 Feb 9 th, :30 AM PST * ZDNet -- Tech site knocked offline for two hours -- until 6:30 AM PST. (ZDNet News is a part of ZDNet.) 5:00 AM PST * E*Trade -- Less than 20 percent of E*Trade customers able to gain access to the No. 2 online broker for more than an hour. 28

28 BOTNETS o Definition: o A hacker controls a network of computers and executes operations. Motivations: o 1. The hacker infects computers (via , worm, virus, trojan horse) o 2. He is now able to perform operations via a channel (IRC,HTTPS,P2P ) o 3. Somebody rents its usage o 4. The hacker executes these operations for a specified amount of time or production(spam, DDoS, trading) First botnet: Did they invent the concept of pay-as-you go in IT services? 29

29 Robots Bots (2) o Pour s implanter, le robot utilise des méthodes classiques : o Un courrier électronique (spam) o Un vers ou virus o Un cheval de Troie o Il peut posséder son propre module de propagation (souvent lente et ciblée) et exploite : o Une vulnérabilité o Des partages ouverts (open shares) o Des mots de passe faibles ou manquants o Il peut exploiter la crédulité des internautes (social engineering) Source : CLUSIF 31

30 Famous botnets o Bredolab (2009), Russian team o viral spam o 30M infected computers, 145 control servers o Financial gain: $139,000/month o Mariposa ( ), Spanish Team o Scamming, DDoS o 12M infected computers o Propagation: USB, P2P, shares, MSN 32

31 Sécurité dans les vers & botnet Stormworm M o Binaire protégé : 2 couches de chiffrements qui varient avec quasiment chaque binaire o Détection des machines virtuelles et protection anti-sandbox o Programmé en C++, code multi-threadé : amélioration perceptible du niveau des programmeurs de malware o! Le C++ complique nettement la tâche du reverser o! Le multithreading également (surtout à cause de l API Windows) o! Code modulaire (couche de communication séparée de la couche de contrôle) o Le bot utilise le protocole P2P Overnet, basé sur la spécificationkademlia 33

32 underground economy - Botnet o Source Peter Haag SWITCH Security Workshop, 03/11/2004 o Le plus grand botnet : > machines o Un accès non exclusif à un bot vaut 0,15 o 0,35 en mode exclusif (10 cents, 25 cents) o Un réseau de 500 bots peut valoir jusqu à 380 (500$) o La location de proxies par jour pour spammer vaut 75 /semaine (100$) o Les attaques DDoS se négocient entre 38 et 750 (50$ et 1000$) o Pour 38 par mois, on reçoit une liste quotidienne de proxies ouverts (50$) Source : CLUSIF 34

33 Underground economy: Russian Business Ntw M o 1 million de sites, plusieurs millions d adresses IP disponibles et 4 millions de visiteurs par mois. o Nombreux sites de vente de faux produits de sécurité (anti-virus, antispyware,codecs). o Sites de ventes de malware, forums spécialisés (mise en relation, ventes, achats). o Sites proposant des rémunérations en contrepartie d activités douteuses (iframer) o Nombreux sites piégés adressés par les IFrames (avec exploits, MPack), sites miroirs (RockPhish). Sites relaispour auto-génération de malware (W32/Nuwar), etc. o Sites collecteurs (phishing) et administrateurs (botnet). o Sites pour adulte (XXX) et sites pédophiles. 35

34 o Phishing: Identité o Acquire sensitive information (username, credit card ) through identity impersonation o Methods: opossibly spoofed sender / instant messaging ohtml: <a href="https://evilpaypal.com">https://www.paypal. com</a> owebsite with same «look-and-feel» o How to protect yourself? o Technical (not enough): browser filters o educate users! 53

35 Eg: Paypal educate users! 54

36 1.3. Alertes et informations utiles o o Agence nationale de la sécurité des systèmes d information o csrc.nist.gov o Computer Security Ressource Clearinghouse ; National Institute of Standards & Technology o o Computer Emergency Response Team o o Sites des «vendeurs», bulletins de sécurité 55

37 ANSSI - alertes 56

38 Vulnerability disclosure o Public disclosure: o Security researchers publicly disclose it o Risk: «in the wild» exploit o Responsible disclosure: o Reported directly to the vendor o Risk: the vendor does not quickly patch o Hybrid: o To an organization which «buys it» o Resolve conflicts between 2 parties Interesting paper: EMERGING ISSUES IN RESPONSIBLE VULNERABILITY DISCLOSURE, Hasan Cavusoglu. Huseyin Cavusoglu, Srinivasan Raghunathan 57

39 Coordinated vulnerability disclosure - Hybrid - or Full-Vendor 58

40 Ethics & IT security o If you find a Windows exploit (with code execution): o Full-vendor: report it to Microsoft o0 Euros o Hybrid: to an organization which o~200 E o Undeground market: $1M o Consequences? o Why do you work in IT security? (beliefs, moral ) 59

41 2. Divers algorithmes et méthodes o Stéganographie o Shamir s secret sharing o P2P: l algorithme Eigentrust 66

42 2.1. Stéganographie o L art et la science d écrire des messages masqués, de sorte que seuls l émetteur et le destinataire soupçonnent l existence du message o Confidentiality, discrete (!= cryptography) o Qui utilise la stéganographie? o Armée, Terroristes, o Types: o Pure / null cipher: message caché en clair dans données o Crypto: symétrique ; assymétrique o Eg: Réseau ; Digitale (image, audio, video) ; Texte, Imprimée 67

43 2.1. Stéganographie o Texte dans du texte. o Eg: WWI PRESIDENT'S EMBARGO RULING SHOULD HAVE IMMEDIATE NOTICE. GRAVE SITUATION AFFECTING INTERNATIONAL LAW. STATEMENT FORESHADOWS RUIN OF MANY NEUTRALS. YELLOW JOURNALS UNIFYING NATIONAL EXCITEMENT IMMENSELY. PRESIDENT'S EMBARGO RULING SHOULD HAVE IMMEDIATE NOTICE. GRAVE SITUATION AFFECTING INTERNATIONAL LAW. STATEMENT FORESHADOWS RUIN OF MANY NEUTRALS. YELLOW JOURNALS UNIFYING NATIONAL EXCITEMENT IMMENSELY. PERSHING SAILS FROM NY JUNE I. Movie: A beautiful mind,

44 o Eg: 2.1. Stéganographie: exemple o Pure / «null cipher»: Données dans image RGB picture representation o canal SIP (RTP, UDP): oerreur: fréquence, taux, taille d erreur, oaudio: certains bits précis o data to hide picture with hidden data 69

45 o Concept: o secret m o entre n acteurs 2.2. Partage de secret o au moins t secrets pour reconstruire o Eg: (t=2,n=2) Secret Sharing: o Alice et Bob tout seuls ne peuvent reconstruire le secret excepté s ils coopèrent! SB B SB S SA A SA 70

46 XOR secret sharing scheme o Trivial t=n: o m o x a = nombre aléatoire, taille m o x b = nombre aléatoire (distinct XA), m o m enc = m XOR x a XOR x b o Secret individuel de A: SA = (x a ; m enc ) o B: SB = (xb ; m enc ) o m = m enc XOR x a XOR x b 71

47 Shamir s Secret Sharing (t!= n) o Shamir (1979): le «S» dans RSA o Constat: o Polynôme de degré 2 o 2 points non suffisants o 3 oui o k points suffisants pour décrire un polynôme de degré k-1 o Etapes: o Préparation des secrets individuels o Reconstruction du secret m 72

48 Shamir: construction des secrets o (t=2,n=4) o m=1976 o t-1=1 coefficients choisis au hasard o a1=3 o f(x) = a i *x i ; a 0 =m o f(x) = x o Choix de n=4 points de cette courbe: o (-2 ; 1970), (3 ; 1985), (0 ; 1976), (-5 ; 1961) o Ce sont les secrets individuels o Le secret m=f(0) 73

49 Shamir: reconstruction du secret m o En utilisant l interpolation de Lagrange: (-2 ; 1970), (3 ; 1985) L(x) = 1970 * x * x m = L(0) = 1976 = x 74

50 Blakley s Secret Sharing o t hyperplans distincts s intersectent en un unique point m dans un espace de dimension t=n o Construction: (t,n) o Choisir un point m o Equations génériques o Pour chaque participant, choisir des coefficients distincts o Reconstruction m: o Résoudre le système d équations (t=3,n=3) 75

51 2.3. P2P security: the Eigentrust algorithm o Problèmes: worms, fichiers non authentiques, o Objectif: identifier les peers malicieux o L algorithme Eigentrust a été appliqué par ebay: 76

52 2.3. The EigenTrust algorithm o i,j peers o Trust value o 1 given download from j to i for a transaction k o tr i (k,j) o -1 if download not authentic, or interrupted o +1 else o Local trust value o Global trust value t(j) = sum i (s i (j)) how we can trust that peers according to its actions in the whole network o Normalized trust value [0..1] c i (j) = max(s i (j),0). max(sum k (si(k)),0) s i (j) = sum k (tr i (k,j)) transactions from j to i, from i point of view The EigenTrust Algorithm for Reputation Management in P2P Networks, Stanford: Sepandar D. Kamvar, Mario T. Schlosser, Hector Garcia-Molina 77

53 2.3. Eig. Algo: Transmettre la confiance o Chaque peer k demande a ses voisins i son opinion sur les autres pairs a c i (k) o K fait confiance a i en fonction de son expérience avec celui-ci c i (k) o tk(a)=c k (i).c i (a) 78

54 Iteration 1 Iteration 2 79

55 2.3. Eigentrust for P2P: convergence Test effectué avec 1000 peers Après 10 itérations les valeurs ne changent pas signficativement CONVERGENCE TRES RAPIDE 80

56 L algorithme Eigentrust pour l échange de fichiers en P2P o Expérience: 81

57 3. Sécurité du poste client (endpoint security) o Certification (TCSEC, CC) o Principes de sécurité (rappels) o Principaux méchanismes o Windows NT4+ o Unix 82

58 3.1. Certification o TCSEC o Critères Communs (Common criteria) o Evolutions 83

59 Systèmes : Certification TCSEC(1) o S'applique aux systèmes complets (HW+SW) o Orange book : TCSEC (Trusted Computer System Evaluation Criteria) Rainbow series o Décrit le concept de TCB (Trusted Computing Base) et de moniteur de Sécurité (Reference Monitor) 84

60 Systèmes : Certification TCSEC(2) o Décrit finement les mécanismes d'implémentation o Object Reuse o Audit o Compartment mode o Autres couleurs de l'arc en ciel (Vert = mots de passe, Rouge =Réseau (TNI : Trusted Network Interpretation), etc...) 85

61 Systèmes : Certification TCSEC(3) o 4 niveaux o D = Insécurité ou non évalué o C = Capable d'assurer un contrôle discrétionnaire (DAC) oc2 = "un bon système commercial" o B = Capable d'assurer un contrôle d'accès obligatoire (MAC) o A = Sécurité vérifiée, documentée et démontrée efficace 86

62 Systèmes : Certification CC o Critères communs o Norme ISO sous la référence ISO o Initié par l Europe, agrée par 7 pays: Allemagne, Australie et Nouvelle-Zélande, Canada, Etats-Unis, France, Grande-Bretagne o Une évaluation effectuée dans un pays est reconnue dans les autres o En France, l évaluation est confiée aux CESTI (Centre d'evaluation de la Sécurité des Technologies de l'information) o Eg de CESTI: LEXSI, Sogeti-ESEC o Liste de produits certifiés: 87

63 Critères Communs (1) o Exigences o Fonctionnelles de sécurité o Assurance de sécurité o La norme introduit les concepts suivants : o TOE (Target Of Evaluation) : désignation de l'objet à certifier (par exemple un système d exploitation, un réseau informatique, une application, un produit de type firewall) o PP (Protection Profile) : ensemble type d'exigences de sécurité pour une catégorie de produits (plus de 1000 disponibles) o ST (Security Target) : niveau de sécurité spécifique souhaité pour le produit à évaluer : description des menaces et des objectifs de sécurité du produit à certifier o les Composants : les ensembles élémentaires d'exigences de sécurité : composants fonctionnels (exigences fonctionnelles) et composants d'assurance (garanties apportées) 88

64 Critères Communs (2) o La certification propose 7 niveaux d assurance de l évaluation - EAL (Evaluation Assurance Level) : o EAL1 à EAL4 : qui correspondent à des systèmes courants de bonne qualité et à la mise en œuvre de bonnes pratiques. o EAL5 à EAL7 : qui correspondent à des systèmes conçus avec une démarche et des méthodes de sécurisation particulièrement poussées. o EAL7 : répond notamment à des problématiques de stratégie nationale de sécurité. 89

65 Critères Communs (3) o EAL1 : testé fonctionnellement. o EAL2 : testé structurellement o EAL3 : testé et vérifié méthodiquement. o EAL4 : conçu, testé et vérifié méthodiquement. o Eg: Windows Vista, Server 2008 o EAL5 : conçu de façon semi-formelle et testé. o EAL6 : conception vérifiée de façon semi-formelle et testé. o EAL7 : conception vérifiée de façon formelle et testé. 90

66 Evolutions o Uniformisation des certifications o Common Criteria ostandard ISO oreconnu mondialement o Résistance à l effraction (Tamper Resistance) o Systèmes exposés oles intérêts de l'utilisateur peuvent rentrer en conflit avec l'exploitant (eg: confidentialité, PII Personal Identification Information) o FIPS (Federal Information Processing Standards), ITSEC 91

67 3.2. Principes généraux (rappel) o Méfiance par défaut o Défense en profondeur o Moindre privilège o Réduction de la surface d attaque o Bonne gestion o Multiculture Source: Pascal Saulière, Architecte, CISSP, Microsoft 92

68 Méfiance par défaut o Absence de confiance sans fait ni preuve o Problème: complexité croissante SI => minimum de confiance quasi-nécessaire o Eg: okerberos, on truste le KDC opki, on truste la/les root CA 93

69 Défense en profondeur (in-depth protection) o Protections sur différentes couches: o Postulat que les couches d en dessous peuvent être défaillantes Chiffrement, Contrôle d accès Durcissement app., antimalware Durcissement OS, authentification, HIDS, isolation cryptographique Segmentation réseau, NIDS, chiffrement Pare-feu, Contrôle d accès Sécurité physique Politiques, procédures, sensibilisation Gardiens, serrures, surveillance Documentation, formations utilisateurs 94

70 Moindre privilège (least privilege) o Ne jamais utiliser plus de privilèges que nécessaire o Eg: pour contrôle d accès, pour lire un fichier, pas besoin de droit d écriture o Eg: pour naviguer sur internet, pas besoin de privilèges administrateur/root 95

71 Réduction de la surface d attaque o Surface d attaque = ensemble des propriétés utilisables par un attaquant (eg: réseau=ports ouverts, mécanismes d authentification, services en exécution, privilèges, permissions sur fichiers ) o Objectif: avoir la surface d attaque la plus faible possible o Eg: o Services exécutés sous identité aux privilèges réduits o Services non nécessaires désactivés o Paramétrage fin (pas les paramètres par défaut) 96

72 Bonne gestion & multiculture o Bonne gestion o Pour être sécurisé, un SI doit être bien géré: oprocédures oformations administrateurs oefficience d administration o Multiculture o Multiples technologies. En cas de défaillance/vulnérabilité dans une, un attaquant doit mettre en défaut au moins une seconde o Eg: opare-feux deux niveaux, deux vendeurs distincts 97

73 3.3. Principaux méchanismes o Que protéger? o Trusted Base Computing o Authentification o Isolation o Quelques systèmes clients 98

74 Client - Que protéger? (1) o Parent pauvre de la chaîne de sécurité o Postulat que le client est sûr o Vulnérabilités ocache (tous niveaux) osystèmes de fichiers o Une fois authentifié, l'utilisateur et le client sont liés o Melissa, Loveletter 99

75 Que protéger? (2) o Que protéger? o Le "boot" o L'accès au matériel o L'accès aux ressources contaminatrices omedia mobiles oports extérieurs de type «Hot Plug» o La configuration des attributs de Securite oconfiguration BIOS o La plate-forme elle-même (vol) 100

76 Protéger l accès au matériel o Eg: Compromission physique par le bus PCI (Christophe Devine & Guillaume Vissian, SSTIC, 2009) o o PCI: accès à toute zone de la RAM en R/W o Démo: authentification sous l utilisateur loggué sans connaître son mot de passe 101

77 Trusted Base Computing o TCPA o Confiance transitive o TPM o Conséquences? 102

78 TCPA o Trusted Computing Platform Alliance o Consortium 2003 o Both HW+SW: HP, Microsoft, AMD, Intel, IBM o Chez HP, Dominique Vicard a largement participé à ce projet o Objectif: mise en place d un Trusted Platform Module o Microsoft: Next-Generation Secure Computing Base, utilisation dans Windows 103

79 Confiance transitive Confiance transitive: BIOS => Bootloader => OS => Application S il y a un problème dans la première couche (eg: BIOS), toutes celles après (eg: bootloader, OS ) sont potentiellement compromises CRTM : core root of trust for measurement TBB : Trusted Building blocks 106

80 Structure d un Trusted Platform Module (v 1.1) TPM: Génération rapide de nombre aléatoire crypto-processeur sécurisé séquestre de clés cryptographiques 107

81 Conséquences o Authentification pré-boot: o Matériel o Boot-loader o Chiffrement (partition, fichiers) o Signature de binaires... et vérification de leur intégrité! o Utilisation: o PC récents avec Windows Vista et ultérieur 108

82 Authentification o Identification o Authentification o Dépend du système d'exploitation o Peut être enrichie par l'ajout d'un moyen d'authentification forte o Deux ou trois facteurs 109

83 Isolation o Capacité à séparer les données et leur traitement o Isolation temporelle o Isolation spatiale (accès physique) o Ségrégation des espaces mémoire et des processus (kernel/user, différents utilisateurs) o Isolation cryptographique (clés, messages) o Restriction de privilèges 110

84 Quelques systèmes clients o L histoire: Dos, Win 9x o Clients lourds classiques o Clients légers & full web 111

85 L histoire : Dos, Win9x o Pas de sécurité lie au système de fichier o Pas de séparation User/Data o Accès direct possible aux ressources matérielles o Sensibilité aux Virus et Chevaux-de-Troie o Grande standardisation o CIH o Pas ou peu de contrôle des process o En voie de disparition (ouf) 113

86 Clients lourds classiques : NT, Win2000, XP, Vista, Seven, Snow Leopard et Unix (dépend de la distribution) o Tous ces OS ont des versions certifiées EAL3 ou C2 o Séparation Utilisateur / Données o Poste de travaille partageable o Client identifié comme client réseau o Chiffrement de session utilisateur o Pour la plupart: Protections mémoire (DEP, ALSR) 114

87 Clients légers & full web o Clients fins o Quelquefois sans fichiers locaux o Windows Mobile, PPC, PalmOs, Symbian, OS+Citrix; Terminal Services client (RDP, Microsoft) o Chrome OS: synchronisé sur le cloud de Google o Client réseaux o Boot à distance (remote boot) o Java Virtual Machine 115

88 3.4. Microsoft Windows NT4+ o Authentication o Access control o Auditing o Divers: partitions de sécurité o NT6 (Vista & 7): quelques nouveautés 126

89 Authentification o Security IDentifier o Référentiel d identité o Authentification o Politique de mot de passe o Protection des données 127

90 Security Identifier (SID) o Windows NT: o Chaque security principal possède un SID l identifiant de maniere unique dans une foret (famille de domaine) / ordinateur o SID = référentiel d identité ; domaine ; identité o Security principal: oordinateur ocontrolleur de domaine outilisateur / Service ogroupe de sécurité (un groupe peut contenir tout objet de sécurité) 128

91 Authentication - SID - exemple Security group Tous les employes Security group Audit User object CN=Samir 129

92 SID en bref (non exhaustif) S Niveau de révision 4 bits Valeur : 1 Autorité, 48 bits 0 = null 1 = world 2 = local 3 = creator owner 4 = non unique 5 = NT Sous-autorités (=RID) SID du domaine / de la machine RID du compte 500 = Administrator 501 = Guest 1000 = user = user2 Exemples : 0 = null 0 = world 0 = creator owner 1 = creator group 2 = creator owner server 3 = creator group server Exemples de well known SIDs : S-1-0-0: Null S-1-1-0: Everyone S-1-2-0: Local S-1-3-0: Creator Owner S-1-3-1: Creator Group S-1-5-1: Dialup S-1-5-2: Network S-1-5-3: Batch S-1-5-4: Interactive S X-Y : Logon Session S-1-5-6: Service S-1-5-7: Anonymous Logon S-1-5-9: Enterprise Domain Controlers S : Self S : Authenticated Users S : Restricted S : Terminal Server User S : Remote Interactive Logon S : System (LocalSystem) S : Local Service S : Network Service 130

93 Référentiels d identité o Chaque: o Domaine (~annuaire LDAP + auth. Kerberos) o Machine o Dispose d une base contenant la liste des security principals (donc de leur SID) reconnus dans le référentiel 131

94 Authentification o Condensé / hash de mot de passe: o NTLMv1, NTLMv2 o Kerberos o SSPI: permet à des applications d établir un canal sécurisé Winlogon Application GINA SSPI API authentification : SSPI API carte à puce : PC/SC API biométrie : BioApi Package d authentification LSA Negotiate SSP SSP Schannel SSP SSP Digest NTLM Kerberos Windows XP 132

95 Politique de mot de passe 136

96 Protection des données o ACL o Chiffrement o de partition:bitlocker, TrueCrypt o de fichiers / session: EFS (certificats) ocryptoapi o Clé o Certificats o Contexte (CSP) o Génération de Clé o Échange de clé o Chiffrement et déchiffrement o Signature et Hash o Encodage et décodage des certificats o Stockage des certificats o Communes o Chiffrement/Déchiffr ement o Signature de messages o Vérification de données et de signatures 137

97 Access control o Discretionary Access Control: système de fichiers NTFS o Vérifié par le Security Reference Monitor (NT Kernel) o Deny est préemptif sur Allow! o Fichiers o Privilèges (voir slide suivante) 138

98 Access control - privileges 139

99 Audit (liste non exhaustive) o Système o Authentification (réussie, échec ) o Modification de security principal o Modification politique de sécurité o Démarrage, arrêt: système, services.. o Erreurs o Fichier, objet o Accès, lecture, écriture, exécution o Sur descripteur de ressource (fichier, dossier, ) o Evènements remontés par applications 147

MPLS, GMPLS et NGN. Sécurité MPLS. Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr. Ingénierie Conseils Services Télécommunications

MPLS, GMPLS et NGN. Sécurité MPLS. Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr. Ingénierie Conseils Services Télécommunications MPLS, GMPLS et NGN Sécurité MPLS Jacques BAUDRON ixtel octobre 2009 jacques.baudron@ixtel.fr 1 Contents Treats Requirements VPN Attacks & defence 3 8 14 19 2 3 Threats Threats Denial of service Resources

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Sécuriser Vista. Laboratoire de transmission de données HES-GE

Sécuriser Vista. Laboratoire de transmission de données HES-GE HES-GE Sécuriser Vista Laboratoire de transmission de données Professeur : LITZISTORF Gérald Etudiant : PEREZ Thomas Travail de diplôme Année 2005-2006 1 Sections de la présentation Définitions Initialisation

Plus en détail

Le modèle de sécurité windows

Le modèle de sécurité windows Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit

Plus en détail

Windows Server 2012 R2

Windows Server 2012 R2 Windows Server 2012 R2 OS Hardening Auteur : Hicham KADIRI Date de publication : 20/05/2015 Version : 1.0 Checklist OS Hardening, qu est-ce que c est? Le Hardening d OS permet de réduire la surface d attaque

Plus en détail

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr Etat des lieux de la sécurité dans Windows XP Améliorations et écueils Nicolas RUFF nicolas.ruff@edelweb.fr page 1 Ordre du jour Authentification Réseau Stratégies de groupe Fichiers Noyau Support Autres

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Pourquoi choisir ESET Business Solutions?

Pourquoi choisir ESET Business Solutions? ESET Business Solutions 1/6 Que votre entreprise soit tout juste créée ou déjà bien établie, vous avez des attentes vis-à-vis de votre sécurité. ESET pense qu une solution de sécurité doit avant tout être

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Aurélien Bordes. OSSIR 13 juillet 2010

Aurélien Bordes. OSSIR 13 juillet 2010 Aurélien Bordes aurelien26@free.fr v2.0 1 RDP (Remote Desktop Protocol) Solution d accès distant via un déport : de l affichage graphique du serveur vers le client des entrées du client vers le serveur

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Windows 2008 server -Introduction-

Windows 2008 server -Introduction- Windows 2008 server -Introduction- Rappel sur les systèmes d exploitation Un système d exploitation (Operating System) est un ensemble de programmes responsables de la liaison entre les ressources matérielles

Plus en détail

e i g Architecture réseau basée sur Windows 2000

e i g Architecture réseau basée sur Windows 2000 Architecture réseau basée sur Windows 2000 Diplômant : Yann Souchon Professeur : Gérald Litzistorf Sommaire Introduction Autorisations NTFS Structure logique Etape 1 : 1 domaine Etape 2 : 2 domaines dans

Plus en détail

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011 CATALOGUE FORMATION Année 2010 / 2011 Certified Ethical Hacker Penetration testing tified CHFI Ethical Hacker CHFI Management de la sécurité des SI ical Hacker Penetration t CISSP CISSP Ethical Hacker

Plus en détail

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite. Rational ClearCase or ClearCase MultiSite Version 7.0.1 Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite. Product Overview IBM Rational

Plus en détail

La sécurité des solutions de partage Quelles solutions pour quels usages?

La sécurité des solutions de partage Quelles solutions pour quels usages? La sécurité des solutions de partage Quelles solutions pour quels usages? Swiss IT Business 22/04/15 #ECOM15 #SITB15 #SMARC15 @OodriveOfficiel #oodrive LA SÉCURITÉ DES SOLUTIONS DE PARTAGE QUELLES SOLUTIONS

Plus en détail

AMESD-Puma2010-EFTS- Configuration-update-TEN (en-fr)

AMESD-Puma2010-EFTS- Configuration-update-TEN (en-fr) AMESD-Puma2010-EFTS- Configuration-update-TEN (en-fr) Doc.No. : EUM/OPS/TEN/13/706466 Issue : v3 Date : 7 May 2014 WBS : EUMETSAT Eumetsat-Allee 1, D-64295 Darmstadt, Germany Tel: +49 6151 807-7 Fax: +49

Plus en détail

Netdays 2004. Comprendre et prévenir les risques liés aux codes malicieux

Netdays 2004. Comprendre et prévenir les risques liés aux codes malicieux 1 Netdays 2004 Comprendre et prévenir les risques liés aux codes malicieux 2 Comprendre et prévenir les risques liés aux codes malicieux - Motivations - Les principaux types de codes malicieux - Les principales

Plus en détail

BAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J.

BAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J. BAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J.O du 25/04/2010 Epreuve écrite d admission du lundi 21 juin 2010 de 10h00 à 12h00

Plus en détail

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi Movie Cube Manuel utilisateur pour la fonction sans fil WiFi Table des matières 1. Connexion de l'adaptateur USB sans fil WiFi...3 2. Paramétrage sans fil...4 2.1 Infrastructure (AP)...5 2.2 Peer to Peer

Plus en détail

Audio and Web Conferencing services. Orange Business Services. Web Conferencing

Audio and Web Conferencing services. Orange Business Services. Web Conferencing Audio and Web Conferencing services Orange Business Services Web Conferencing web conferencing completely integrated audio and web services conference availability 24hrs/7days up to 100 participants complete

Plus en détail

Le BYOD, risque majeur pour la sécurité des entreprises

Le BYOD, risque majeur pour la sécurité des entreprises Le BYOD, risque majeur pour la sécurité des entreprises Jean-Marc ANDRE Uniwan.be SPRL 1 Illustrated by 2 1 Prehistory 1936-99 Hacker Challenge Be known as the Virus author Leave a trace in IT History

Plus en détail

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 23 janvier 2015 N 260/ANSSI/SDE/PSS/CCN

Plus en détail

A propos de la sécurité des environnements virtuels

A propos de la sécurité des environnements virtuels A propos de la sécurité des environnements virtuels Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com La virtualisation, de quoi parlons nous «Virtualiser» un objet informatique, ou

Plus en détail

Sécurité des systèmes d'information et communicants en environnement embarqué

Sécurité des systèmes d'information et communicants en environnement embarqué Sécurité des systèmes d'information et communicants en environnement embarqué Dr Alain MERLE Responsable Programme Sécurité et Défense Alain.merle@cea.fr Lionel RUDANT Responsable Programme Telecom Cyberattaques

Plus en détail

Guide d'installation rapide TE100-P1U

Guide d'installation rapide TE100-P1U Guide d'installation rapide TE100-P1U V2 Table of Contents Français 1 1. Avant de commencer 1 2. Procéder à l'installation 2 3. Configuration du serveur d'impression 3 4. Ajout de l'imprimante sur votre

Plus en détail

Introduction aux antivirus et présentation de ClamAV

Introduction aux antivirus et présentation de ClamAV Introduction aux antivirus et présentation de ClamAV Un antivirus libre pour un système libre Antoine Cervoise ClamAV : http://www.clamav.net/ Plan Le monde des malwares Historique Les logiciels malveillants

Plus en détail

Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB

Journées MATHRICE Dijon-Besançon DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots

Plus en détail

Evaluation, Certification Axes de R&D en protection

Evaluation, Certification Axes de R&D en protection 2009 Evaluation, Certification Axes de R&D en protection Dr CEA/LETI Alain.merle@cea.fr 1 Evaluation, Certification, Axes de R&D en protection Evaluation / Certification Le Schéma Français de Certification

Plus en détail

Windows Server 2008. Chapitre 1: Découvrir Windows Server 2008

Windows Server 2008. Chapitre 1: Découvrir Windows Server 2008 Windows Server 2008 Chapitre 1: Découvrir Windows Server 2008 Objectives Identifier les caractéristiques de chaque édition de Windows Server 2008 Identifier les caractéristiques généraux de Windows Server

Plus en détail

Menaces de type logiciels malveillants

Menaces de type logiciels malveillants Menaces de type logiciels malveillants Laurent Butti - Orange 1 of 22 Agenda Introduction Historique Quelques logiciels malveillants marquants Motivations Conclusions 2 of 22 Introduction Virus Un logiciel

Plus en détail

Sécurisation en local

Sécurisation en local Attaques locales (internes) Sécurisation en local Indépendamment de la présence d un réseau Espionnage quand même possible Émission électromagnétiques Norme tempest Dispositifs sans fil Clavier/souris

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

AMESD-Puma2010-EFTS- Configuration-update-TEN (en-fr)

AMESD-Puma2010-EFTS- Configuration-update-TEN (en-fr) AMESD-Puma2010-EFTS- Configuration-update-TEN (en-fr) Doc.No. : EUM/OPS/TEN/13/706466 Issue : v2 Date : 23 July 2013 WBS : EUMETSAT Eumetsat-Allee 1, D-64295 Darmstadt, Germany Tel: +49 6151 807-7 Fax:

Plus en détail

Lieberman Software Corporation

Lieberman Software Corporation Lieberman Software Corporation Managing Privileged Accounts Ou La Gestion des Comptes à Privilèges 2012 by Lieberman Software Corporation Agenda L éditeur Lieberman Software Les défis Failles sécurité,

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

1. Préparation d un PC virtuel sous Windows XP pro

1. Préparation d un PC virtuel sous Windows XP pro LP CHATEAU BLANC 45 CHALETTE/LOING THÈME : PRISE EN MAIN DE VMWARE TP OBJECTIFS : PRENDRE EN MAIN LE LOGICIEL VMWARE Compétences : C1-1 ; C3-3 ; C3-4 ; C5-4 ; C5-7 BAC PRO SEN TR ACADÉMIE D ORLÉANS-TOURS

Plus en détail

PCI DSS un retour d experience

PCI DSS un retour d experience PCI DSS un retour d experience Jean-Marc Darées, IT architect PSSC Customer Center, NTC France jmdarees@fr.ibm.com EUROPE IOT Agenda Le standard PCI Un réveil soudain Retours d Expérience IBM PCI DSS Un

Plus en détail

ThinkVantage Fingerprint Software

ThinkVantage Fingerprint Software ThinkVantage Fingerprint Software 12 2 1 First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS

Plus en détail

Sécurité des systèmes d exploitation

Sécurité des systèmes d exploitation Sécurité des systèmes d exploitation Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Systèmes d exploitation Microsoft XP, Vista, 7, Unix/Linux MAC Conclusion Jean-Marc Robert, ETS Sécurité

Plus en détail

Evolution des menaces externes

Evolution des menaces externes Evolution des menaces externes P. Pleinevaux IBM Global Technology Services 2012 IBM Corporation L évolution des menaces externes Menaces et attaques Les codes malicieux (malware) Les vulnérabilités des

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé Cible de Sécurité CSPN Produit TrueCrypt version 7.1a Catégorie Stockage Sécurisé Date : le 15/01/2013 Page 1 sur 18 Siège : 4 bis Allée du Bâtiment 35000 Rennes France www.amossys.fr SIRET : 493 348 890

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

Voici un des développements récents en matière d arnaque tordue : l usurpation de compte Ebay

Voici un des développements récents en matière d arnaque tordue : l usurpation de compte Ebay Voici un des développements récents en matière d arnaque tordue : l usurpation de compte Ebay Pour résumer voici le type de procédure que nos arnaqueurs utilisent pour pirater votre compte : 1 Vous recevez

Plus en détail

Rapport de certification ANSSI-CSPN-2014/02. Digital DNA Corelib Version 3.2.0

Rapport de certification ANSSI-CSPN-2014/02. Digital DNA Corelib Version 3.2.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2014/02 Paris, le 21

Plus en détail

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux

Plus en détail

Sécurité de la ToIP Mercredi 16 Décembre 2009. CONIX Telecom eric.assaraf@conix.fr

Sécurité de la ToIP Mercredi 16 Décembre 2009. CONIX Telecom eric.assaraf@conix.fr Sécurité de la ToIP Mercredi 16 Décembre 2009 CONIX Telecom eric.assaraf@conix.fr Téléphonie sur IP vs téléphonie classique Quel est le niveau de sécurité de la téléphonie classique? 2 La différence c

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Sécurité et procédures Olivier Markowitch Sécurisation matérielle Sécurisation matérielle des stations de travail permission de l accès au clavier ou à l écran tactile

Plus en détail

WORKSHOP OBIEE 11g (version 11.1.1.5) PRE-REQUIS:

WORKSHOP OBIEE 11g (version 11.1.1.5) PRE-REQUIS: WORKSHOP OBIEE 11g (version 11.1.1.5) Durée du workshop: 2 jours Profil des participants du workshop: Profil fonctionnel ou technique Notions de modélisation multidimensionnelle et du décisionnel NB :

Plus en détail

NOTICE D UTILISATION Option USB 2-Ports USB FRANCAIS

NOTICE D UTILISATION Option USB 2-Ports USB FRANCAIS NOTICE D UTILISATION Option USB 2-Ports USB FRANCAIS Introduction Ce supplément vous informe de l utilisation de la fonction USB qui a été installée sur votre table de mixage. Disponible avec 2 ports USB

Plus en détail

DynDNS. Qu est-ce que le DynDNS?

DynDNS. Qu est-ce que le DynDNS? DynDNS. Qu est-ce que le DynDNS? Le DynDNS (Dynamic Domain Name Server) sert à attribuer un nom de domaine à une adresse ip dynamique. Chaque ordinateur utilise une adresse ip pour communiquer sur le réseau.

Plus en détail

Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée. 12 décembre 2010

Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée. 12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 Université de Marne-la-Vallée 12 décembre 2010 Découvrir les services d annuaire Etudier les mécanismes LDAP Déployer un service LDAP Marc OLORY LDAP et les services d annuaire

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification HP préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les

Plus en détail

Criminalité numérique Etat des menaces et tendances

Criminalité numérique Etat des menaces et tendances Etat des menaces et tendances Laurence Ifrah 1 er au 2 avril 2008 Cyberconflits 2007 Les deux premières attaques massives ciblées L Estonie - La Chine Les attaquants et commanditaires ne sont pas formellement

Plus en détail

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse Questions - Révision- - 1 er Semestre Informatique Durée de l examen : 1h pour 40 questions. Aucun document n est autorisé. L usage d appareils électroniques est interdit. Les questions faisant apparaître

Plus en détail

How To connect to TonVPN Max / Comment se connecter à TonVPN Max

How To connect to TonVPN Max / Comment se connecter à TonVPN Max How To connect to TonVPN Max / Comment se connecter à TonVPN Max Note : you need to run all those steps as an administrator or somebody having admin rights on the system. (most of the time root, or using

Plus en détail

Samba. précis & concis. Introduction

Samba. précis & concis. Introduction Samba précis & concis Introduction Samba est un outil particulièrement utile pour ceux qui possèdent des systèmes à la fois Windows et Unix sur leur réseau. Lorsque Samba est exécuté sur un système Unix

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

La gestion des vulnérabilités par des simulations d'attaques

La gestion des vulnérabilités par des simulations d'attaques La gestion des vulnérabilités par des simulations d'attaques Philippe Oechslin, Objectif Sécurité Eric Choffat, Serono Cette présentation est disponible sur inforum.biz Introduction o Objectif Sécurité

Plus en détail

Vers un nouveau modèle de sécurisation

Vers un nouveau modèle de sécurisation Vers un nouveau modèle de sécurisation Le «Self-Defending Network» Christophe Perrin, CISSP Market Manager Security cperrin@cisco.com Juin 2008 1 La vision historique de la sécurité Réseaux partenaires

Plus en détail

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates! Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des

Plus en détail

avast! EP: Installer avast! Enterprise Administration

avast! EP: Installer avast! Enterprise Administration avast! EP: Installer avast! Enterprise Administration Comment installer avast! Enterprise Administration? avast! Enterprise Administration a été conçu pour les réseaux complexes et pour gérer plus de 1000

Plus en détail

Évaluation Hardware et Software pour la confiance des cartes à puces

Évaluation Hardware et Software pour la confiance des cartes à puces Évaluation Hardware et Software pour la confiance des cartes à puces JTE : Confiance et Système CNAM, Paris, 20 Juin 2006 Van-Lam Nguyen Security Coordinator, Embedded Systems 20 juin 2006 Trusted Labs,

Plus en détail

Virtualisation & Sécurité

Virtualisation & Sécurité Virtualisation & Sécurité Comment aborder la sécurité d une architecture virtualisée? Quels sont les principaux risques liés à la virtualisation? Peut-on réutiliser l expérience du monde physique? Quelles

Plus en détail

Prenez le train de l évolution maintenant pour gérer le stress des réseaux de demain

Prenez le train de l évolution maintenant pour gérer le stress des réseaux de demain Prenez le train de l évolution maintenant pour gérer le stress des réseaux de demain Yves Rodriguez Sales Development Manager 1 2 LES TENDANCES 14% WLAN Access Points 20% IP Video Surveillance Cams 20%

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

La citadelle électronique séminaire du 14 mars 2002

La citadelle électronique séminaire du 14 mars 2002 e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

Extraction de données authentifiantes de la mémoire Windows

Extraction de données authentifiantes de la mémoire Windows HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction de données authentifiantes de la mémoire Windows

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

J2EE : Services Web. Stéphane Croisier, Directeur Serge Huber, Directeur Technique. 13 Juin 2002. 2002 Jahia Ltd. All rights reserved.

J2EE : Services Web. Stéphane Croisier, Directeur Serge Huber, Directeur Technique. 13 Juin 2002. 2002 Jahia Ltd. All rights reserved. J2EE : Services Web Stéphane Croisier, Directeur Serge Huber, Directeur Technique 13 Juin 2002 Aperçu Interopérabilité en XML/HTTP SOAP ebxml Outils d EAI JXTA Normes d interopérabilité XML SOAP/UDDI Inventé

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap Page 1 of 7 Rechercher sur le Web Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap Accueil Actualité Windows Vista Windows Server Active Directory TCP/IP Securité Qui

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY De NT à Windows Server Issus de la branche NT de Windows (après Windows 98) 2 familles de produits (Workstation,

Plus en détail

Gregor Bruhin pour le club Login, avril 2013

Gregor Bruhin pour le club Login, avril 2013 Gregor Bruhin pour le club Login, avril 2013 Introduction Ces logiciels qui vous veulent du mal ou à votre ordinateur... Objectifs : Identifier les différents types de logiciels malveillants, connaître

Plus en détail

La Sécurité des Données en Environnement DataCenter

La Sécurité des Données en Environnement DataCenter La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

Chrome for Work. CRESTEL - 4 décembre 2014

Chrome for Work. CRESTEL - 4 décembre 2014 Chrome for Work CRESTEL - 4 décembre 2014 Connect Visualize Build Find Access 10 applications Web 3 appareils moyenne par employé Source : Forrester & Cisco. Accès sécurisé aux outils et aux données de

Plus en détail

La sécurité avec Windows 2000

La sécurité avec Windows 2000 Présentation OSSIR 06/03/2000 http://www.ossir.org/ftp/supports La sécurité avec Windows 2000 IBM Global Services pchambet@fr.ibm.com pchambet@club-internet.fr Planning Objectifs Rappels Points forts Risques

Plus en détail

Sécurité des infrastructures

Sécurité des infrastructures Sécurité des infrastructures P. Pleinevaux, IBM GTS 2012 IBM Corporation Sécurité des infrastructures L approche Les principes Les processus Les nouvelles approches 2 L approche prônée par l ISO repose

Plus en détail

Prérequis réseau constructeurs

Prérequis réseau constructeurs Prérequis réseau constructeurs - Guide de configuration du réseau Page 2 - Ports utilisés - Configuration requise - OS et navigateurs supportés Page 4 Page 7 Page 8 Guide de configuration du réseau NB:

Plus en détail

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI 9/12/2014 Cloud & Security Sommaire Rappel court de Cloud Pour quoi cette sujet est important? Données sensibles dans le Cloud Les risques Top

Plus en détail

Le Cloud Computing est-il l ennemi de la Sécurité?

Le Cloud Computing est-il l ennemi de la Sécurité? Le Cloud Computing est-il l ennemi de la Sécurité? Eric DOMAGE Program manager IDC WE Security products & Solutions Copyright IDC. Reproduction is forbidden unless authorized. All rights reserved. Quelques

Plus en détail

Authentification et Autorisation

Authentification et Autorisation Authentification et Autorisation Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Contrôle accès Identification Authentifiction Autorisation Imputabilité (Accoutability) Conclusion

Plus en détail

Comment concevoir et réaliser des applications mobiles combinant l'iot et le cognitif? Erwan Maréchal

Comment concevoir et réaliser des applications mobiles combinant l'iot et le cognitif? Erwan Maréchal IBM 2015 App Days Amphithéatre Blaise Pascal Comment concevoir et réaliser des applications mobiles combinant l'iot et le cognitif? Erwan Maréchal Appli Single Page : le concept du «Single Page App» Qu

Plus en détail

SAR-SSI, La Rochelle 20/05/2011

SAR-SSI, La Rochelle 20/05/2011 Certification de Sécurité de Premier Niveau Une réponse pragmatique aux besoins du marché civil SAR-SSI, La Rochelle 20/05/2011 Frédéric Rémi - frederic.remi@amossys.fr ACCREDITATION N 1-2190 PORTEE DISPONIBLE

Plus en détail

Domain Name System Extensions Sécurité

Domain Name System Extensions Sécurité Domain Name System Extensions Sécurité 2 juin 2006 France Telecom R&D Daniel Migault, Bogdan Marinoiu mglt.biz@gmail.com, bogdan.marinoiu@polytechnique.org Introduction Extentions de Sécurité DNS Problématique

Plus en détail

Sécurité sous Windows 2000 Server

Sécurité sous Windows 2000 Server Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN : 2-212-11185-1 Table des matières Remerciements..............................................

Plus en détail

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion Copyright 2009 Alt-N Technologies. 3 allée de la Crabette Sommaire Résumé... 3 MDaemon

Plus en détail

Protection des Données : CUSI, le 27 Mars 2013 Présenté par Patrick Régeasse

Protection des Données : CUSI, le 27 Mars 2013 Présenté par Patrick Régeasse Protection des Données : L archétype du projet paradoxal CUSI, le 27 Mars 2013 Présenté par Patrick Régeasse ToC - Agenda 1 Projet Paradoxal? 2 3 4 Les raisons d un capital risque élevé Les Facteurs Clefs

Plus en détail