Les enjeux de la sécurité informatique. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

Transcription

1 Les enjeux de la sécurité informatique Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1

2 Plan Motivations & contexte Actualités Vulnérabilités porte d entrée Objectifs de la sécurité informatique Analyse de risques Approche traditionnelle Approche holistique Conclusion Chamseddine Talhi, ÉTS 2

3 Motivation & Contexte Effet surprise Cheval de Troie Chamseddine Talhi, ÉTS Chemins non empruntés auparavant Traversée des Alpes (Hannibal 218 av. J.-C) 3

4 Motivation & Contexte Chamseddine Talhi, ÉTS 4

5 Motivation & Contexte Pointe de l'iceberg Les victimes ne déclarent pas les violations Les incidents les plus visibles sont les plus médiatisés Exemple - Les banques ne sont pas obligés de divulguer les vols effectués sur les comptes de leurs clients. Chamseddine Talhi, ÉTS 5

6 Motivation & Contexte Un classique: les malwares (virus ) Snifula (Sep 2014) : trojan qui a attaqué les institutions financières japonaises. njrat ( ) : qui a attaqué les institutions financières au moyen orient. Statistiques de nouvelles variantes de malwares : Chamseddine Talhi, ÉTS Environ 1 million de Malware par jour 6

7 Motivation & Contexte Le marché mondial du logiciel de sécurité aurait connu une croissance de 5,3% de ses revenus en Les revenus mondiaux tirés de la vente de logiciels de sécurité ont atteint : 2014 : 21,4 milliards de dollars 2013 : 20,3 milliards de dollars Carbanak 100 institutions financières sont victimes d attaques informatiques par un groupe inconnu, depuis fin Les attaques ont atteint 1 milliard de dollars. Dans certains cas, une seule attaque aurait permis de dérober jusqu à 10 millions de dollars. Chamseddine Talhi, ÉTS 7

8 Motivation & Contexte Chamseddine Talhi, ÉTS 8

9 Motivation & Contexte 2 ans d'évolution de logiciels malveillants mobiles 20 ans d'évolution de logiciels malveillants de bureautique traditionnels SOURCE: Sophos, Mobile Security Threat Report, 2014, «2000 échantillons de logiciels malveillants Android découverts chaque jour» (Sophos, 2014) Chamseddine Talhi, ÉTS 9

10 Actualités! 5 août - Royaume-Uni : les données de 2,4 millions clients de Carphone piratées Carphone : un des plus importants distributeurs de smartphones au Royaume-Uni. Ce piratage massif pourrait impliquer le vol des détails de cartes bancaires. Cette attaque sophistiquée a probablement été lancée deux semaines avant sa découverte. La compagnie a aussitôt annoncé la fermeture des sites Internet affectés, pris des mesures pour déterminer la nature des données compromises et informer les clients concernés par cette attaque. Chamseddine Talhi, ÉTS Source: 10

11 Actualités! 20 juillet - Ashley Madison piraté : l'identité de 37 millions d'infidèles bientôt dévoilée Cyber-pirates Impact Team menace de diffuser les coordonnées de 37 millions clients ainsi que toutes sortes de documents confidentiels si ce site ainsi qu'established Men ne sont pas mis hors ligne! Dérobés chez d'avid Life Media : détails concernant l'infrastructure IT du site, données de ventes et marketing, d'autres relatives aux clients, etc. «Nous les avons complètement piraté et pris l'ensemble de leurs domaines de production et de bureautique, les bases de données de tous leurs clients sur plusieurs années, les répertoires de code source, des enregistrements financiers, de la documentation et des s. Et cela a été facile. Pour une société qui promet d'être discrète, c'est comme si ils n'avaient jamais cherché à l'être» Chamseddine Talhi, ÉTS Source: 11

12 Actualités! 20 juillet - Ashley Madison piraté : l'identité de 37 millions d'infidèles bientôt dévoilée Afin de prouver l'existence de ce piratage et faire pression sur ALM, 40 Mo de données ont été mis en ligne, incluant des détails partiels de transactions bancaires ainsi que d'autres documents provenant des données serveurs d'alm. Certains fichiers sont relatifs à des craintes de sécurité multiples émises par la société : défaillance de processus, mise en défaut de la gouvernance, vulnérabilités XSS et injection SQL, infections de malwares sur le réseau, attaques man-in-the-middle On apprend qu'alm a gagné 1,7 million de dollars en 2014 en facturant 19 dollars les utilisateurs souhaitant faire disparaître leurs informations personnelles sur le site! Détails publiés en ligne le 19 août! Fin mai, 3,9 millions d'adresses mail piratés du site AdultFriendFinder en mars dernier, a été mise en vente pour 70 bitcoins Chamseddine Talhi, ÉTS Source: 12

13 Piratage des voitures! Actualités! 2013 : vulnérabilités exploitées: : Une Jeep piratée à distance par 2 hackers 2015 : une autre démo: Source: Chamseddine Talhi, ÉTS 13

14 Piratage des voitures! Actualités! Chrysler rappelle 1,4 million de voitures exposées à un piratage à distance quelques jours après un article de Wired sur la vulnérabilité des véhicules connectés qui explique comment deux hackers, Charlie Miller et Chris Valasek, ont réussi à prendre le contrôle d'une Jeep Cherokee fabriquée par Fiat/Chrysler. Charlie Miller et Chris Valasek travaillent depuis plusieurs mois avec Chrysler qui a déjà livré un correctif début juillet. Mais l'attention des médias sur l évènement a poussé le constructeur à faire un rappel de ses véhicules. «Le piratage à l origine de ce rappel demande des connaissances techniques uniques et très complexes, un accès physique prolongé à un véhicule témoin et beaucoup de temps pour écrire du code». Deux sénateurs américains Ed Markey et Richard Blumenthal ont déposé la semaine dernière une proposition de loi obligeant les constructeurs automobiles à mieux protéger leurs véhicules contre les pirates informatiques. Projet de loi intitulé Security and Privacy in Your Car Act 2015! Chamseddine Talhi, ÉTS Source: 14

15 Actualités! Vulnérabilités et failles! Black Hat 2015 : la faille Certifi-Gate permet un contrôle distant sous Android Certifi-Gate permet à des pirates d'accéder sans restriction à l'appareil via des applications et ainsi, selon Check Point, «de dérober des données personnelles, localiser les appareils, activer le microphone pour enregistrer des conversations, et plus encore». Certains fabricants de smartphones ont préchargé de façon non sécurisée des outils de support à distance sur leurs terminaux Android, ce qui fournit aux pirates un moyen de prendre le contrôle de ces terminaux à travers des apps malveillantes ou même des messages SMS! Google a confirmé cette vulnérabilité, selon le site Golem. Mais Check Point rappelle qu'android ne dispose d'aucun moyen de révoquer des certificats fournissant des autorisations privilégiées. Seule une mise à jour du système d'exploitation pourra permettre de supprimer cette faille de sécurité. Chamseddine Talhi, ÉTS Source: 15

16 Actualités! Vulnérabilités et failles! Les clients BitTorrent peuvent servir à amplifier les attaques DDoS Sur la conférence Usenix, quatre chercheurs universitaires ont expliqué comment des attaques DDoS pouvaient être lancées en répercutant le trafic généré par des millions d'ordinateurs utilisant BitTorrent. Dans un article présenté la semaine dernière sur le Workshop on Offensive Technologies (WOOT 2015), ils ont montré comment des programmes tels que utorrent, Vuze ou le client BitTorrent d origine (Mainline) pouvaient aider des attaquants à amplifier jusqu à 50 fois le trafic DDoS Le protocole BitTorrent Sync (BTSync), également utilisé pour la synchronisation de fichiers peer-to-peer, peut être exploité avec un facteur d amplification allant jusqu à 120 Chamseddine Talhi, ÉTS Source: 16

17 Actualités! Vulnérabilités et failles! Un jeune développeur italien a repéré deux failles zero-day dans l OS Mac OS X d'apple pouvant entraîner la prise de contrôle à distance d une machine. Découverte intervient une semaine après la livraison par Apple d'un correctif pour la faille (dyld_print-to-file) d élévation de privilèges dans la version x d OS X. Luca Todesco, 18 ans, a publié sur GitHub les détails d'un programme exploitant deux bogues pour entraîner une corruption de la mémoire dans le noyau d OS X. La mémoire corrompue peut alors être utilisée pour contourner le kernel Address Space Layout Randomization (kaslr), une technique défensive conçue pour empêcher le code malveillant de fonctionner. L'attaquant atteint alors le root shell. Cette vulnérabilité touche les versions à d OS X, mais pas El Capitan, la version bêta du prochain OS d Apple, dont les mécanismes de sécurité ont été renforcés. Chamseddine Talhi, ÉTS Source: 17

18 Vulnérabilités Chamseddine Talhi, ÉTS 18

19 Vulnérabilités Un long chemin: détection, annonce, correction Chamseddine Talhi, ÉTS Hitachi Vulnerability Disclosure Process Source: 19

20 Vulnérabilités Une question d analyse de risque: Vraisemblance Impact Chamseddine Talhi, ÉTS 20

21 Vulnérabilités Source: Vulnerabilities-Exploits-Patches-and-Security.aspx Chamseddine Talhi, ÉTS 21

22 Vulnérabilités NIST National Vulnerability Database ( CVE Vulnerabilities (30 août 2015) C est autant de possibilités pour des attaques Jean-Marc Robert, ÉTS 22

23 Jean-Marc Robert, ÉTS Vulnérabilités De l annonce à l exploit! Nom Annonce Exploit Intervalle SQLsnake 27 novembre mai CodeRed 19 juin juillet Nimda 15 mai septembre Plusieurs vecteurs 6 août avril Slapper 30 juillet septembre Scalper 17 juin juin Adapté de J. Nazario, Defense and Detection Strategies against Internet Worms,

24 Objectifs de la sécurité Objectif 1 Information security is the protection of information [Assets] from a wide range of threats in order to ensure business continuity, minimize business risks and maximize return on investment and business opportunities. Adapté de Norme ISO 17799:2005. Jean-Marc Robert, ÉTS 24

25 Objectifs de la sécurité Objectif 2 The purpose of information security governance is to ensure that [enterprises] are proactively implementing appropriate information security controls to support their mission in a cost-effective manner, while managing evolving information security risks. As such, information security governance has its own set of requirements, challenges, activities, and types of possible structures. Information security governance also has a defining role in identifying key information security roles and responsibilities, and it influences information security policy development and oversight and ongoing monitoring activities. Adapté de NIST Special Publication Information Security Handbook: A Guide for Managers Jean-Marc Robert, ÉTS 25

26 Objectifs de la sécurité Les actifs Les actifs informationnels représentent l ensemble des données et des systèmes d information nécessaires au bon déroulement d une entreprise. Base de données Clients Vente et Marketing Base de données Employés Ressources humaines Portail web Vente directe ou indirecte Code source d une application Équipe de développement Base de données Usagers Équipe des TI Jean-Marc Robert, ÉTS 26

27 Objectifs de la sécurité Les propriétés Le trio du CID: Confidentialité Intégrité Disponibilité Jean-Marc Robert, ÉTS 27

28 Jean-Marc Robert, ÉTS Objectifs de la sécurité Confidentialité Propriété d une donnée dont la diffusion doit être limitée aux seules personnes ou entités autorisées. Menaces Surveillance du réseau Vol de fichiers Fichiers de mots de passe Fichiers de données Espionnage Ingénierie sociale Contre-mesures Cryptographie Chiffrement Contrôle d accès Mot de passe à usage unique Biométrie Classification des actifs Formation du personnel 28

29 Objectifs de la sécurité Intégrité Propriété d une donnée dont la valeur est conforme à celle définie par son propriétaire. Menaces Attaques malicieuses Virus Bombes logiques Portes dérobées Erreurs humaines Contre-mesures Cryptographie Authentification, signature Contrôle d accès Mot de passe à usage unique Biométrie Système de détection d intrusion Formation du personnel Si cette propriété n est pas respectée pour certains actifs, cela peut avoir des impacts sur la confidentialité de d autres actifs. Jean-Marc Robert, ÉTS 29

30 Objectifs de la sécurité Disponibilité Propriété d'un système informatique capable d'assurer ses fonctions sans interruption, délai ou dégradation, au moment même où la sollicitation en est faite. Menaces Attaques malicieuses Dénis-de-service Jean-Marc Robert, ÉTS Inondation Vulnérabilités logicielles Attaques accidentelles Flashcrowd Slashdot effect Pannes Environnemental, logiciel, matériel Contre-mesures Pare-feu Système de détection d intrusion Formation du personnel 30

31 Objectifs de la sécurité Objectif de la sécurité informatique (reformulé) La sécurité de l information consiste à protéger les actifs informationnels afin d assurer l intégralité de leurs propriétés. Les actifs et leurs propriétés sont définis par les objectifs d affaire. Jean-Marc Robert, ÉTS 31

32 Analyse de risques Une vieille histoire Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats que par tes défaites. Sun Tzu, approx. 4 ième siècle av. Jean-Marc Robert, ÉTS 34

33 Approche traditionnelle Le rôle des responsables des TI Se basant sur le fait que les systèmes informatiques sont intrinsèquement vulnérables (bogues de logiciel, mauvais design, ), les responsables des TI doivent mettre en place les moyens de résister aux diverses menaces afin de protéger les actifs de leurs entreprises. Jean-Marc Robert, ÉTS 35

34 Approche traditionnelle Les objectifs techniques de la sécurité Déployer une infrastructure adéquate résistant aux attaques et assurant l intégralité des actifs (et leurs propriétés). Prévention Contrôle d accès Mise à jour des logiciels Pare-feu, Systèmes de prévention d intrusion (SPI) Détection Antivirus Systèmes de détection d intrusion (SDI) Audit Réaction Pare-feu Jean-Marc Robert, ÉTS Veille technologique à la recherche des vulnérabilités. CERT, NIST, Virus Bulletin, Microsoft, Bugtraq 36

35 Approche traditionnelle et les façons de les atteindre! Protéger le périmètre du réseau. Pare-feu, SDI, SPI Protéger les serveurs publics. Logiciels mis à jour régulièrement Zones démilitarisées Partitionner le réseau interne. Contrôle d accès, pare-feu, SDI, SPI Protéger les serveurs internes et les usagers. Logiciels mis à jour régulièrement Antivirus Jean-Marc Robert, ÉTS 37

36 Approche traditionnelle Politiques de sécurité Les politiques de sécurité sont des énoncés généraux dictées par les cadres supérieurs décrivant le rôle de la sécurité au sein de l entreprise afin d assurer les objectifs d affaire. Pour mettre en œuvre ces politiques, une organisation doit être mise en place. Définition des rôles, des responsabilités et des imputabilités L analyse de risque est à la base de cette activité Jean-Marc Robert, ÉTS 39

37 Approche traditionnelle L information est disponible même trop! NIST Département du commerce, É.-U. SP Information Security Handbook: A Guide for Managers SP Draft, Guide to IEEE i: Robust Security Networks SP Draft, Guide to Intrusion Detection and Prevention (IDP) Systems SP Guidance for Securing Microsoft Windows XP Systems for IT Professionals SP Guidelines on Firewalls and Firewall Policy ISO ISO/IEC 17799:2005(E) Code of Practice for Information Security Management. ISO/IEC 21287:2002 System Security Engineering Capability Maturity Model. US-CERT Software Engineering Institute de CMU Defense in Depth: Foundations for Secure and Resilient IT Enterprises Advanced Information Assurance Handbook Amazon.ca 1229 livres sont proposés en utilisant les mots clé: Information Security. Google.ca Ce que vous cherchez s y trouve. Bonne chance! Jean-Marc Robert, ÉTS 40

38 Approche holistique La sécurité des logiciels est donc critique! 50 % des vulnérabilités proviennent des erreurs de conception. 50 % des vulnérabilités proviennent des erreurs d implémentation. Dépassement de mémoire et d entier Concurrence critique Microsoft s Trustworthy Computing Initiative Mémo de Bill Gates en janvier 2002 présente la nouvelle approche de Microsoft de développer des logiciels sécurisés. Microsoft aurait dépensé plus de 300 millions USD. The Trusthworthy Computing Security Development Lifecycle. Jean-Marc Robert, ÉTS 42

39 Approche holistique Sécurité du logiciel Robustesse Gestion du risque Actifs, menaces, objectifs, Cycle de développement du logiciel Bases de connaissance Jean-Marc Robert, ÉTS 43

40 Approche holistique Cycle de développement du logiciel Risk analysis Abuse cases Security req. Risk analysis Risk-based security tests Code review (Tools) Risk analysis Penetration testing Penetration testing Security operations Requirements Use Cases Architecture Design Test Plans Code Tests Test Results Feedback Deployment Adapté de Software Security by McGraw Intégration d activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d efficacité subjectif) Code review, Risk analysis, Penetration testing, Security tests, Abuse cases, Security requirements, Security operations Jean-Marc Robert, ÉTS 44

41 Approche holistique Le domaine de la sécurité du logiciel est naissant. Peu d information est disponible. + le site web Jean-Marc Robert, ÉTS 45

42 Esprits criminels Créativité sans limites! ure=related e=related Chamseddine Talhi, ÉTS 46

43 Conclusion Connaissez-vous vous-même. Déterminer les actifs qui doivent être protégés et leurs propriétés. Déterminer les objectifs à atteindre. Connaissez vos ennemis. Déterminer les menaces contre lesquelles ils doivent être protégés. Reposez-vous sur les épaules de géants. Veille technologique, base de connaissances. Principes, guides et règles connues. Ne jamais dire: ceci est impossible, ils ne peuvent faire cela. Jean-Marc Robert, ÉTS 47