INFORMATION SÉCURITÉ

Transcription

1 INFORMATION SÉCURITÉ Fouad YAHIA Responsable de la sécurité des Systèmes d Information yahia@ipno.in2p3.fr poste Unité mixte de recherche CNRS-IN2P3 Université Paris-Sud Orsay cedex Tél. : Fax :

2 PLAN 1. Pourquoi de la sécurité? Quels sont les risques? Enjeux et menaces Les services sécurisés 2. Gestion des traces 3. Virus et conséquences 4. Spam/Phishing Comment les détecter et comment se protéger? Exemple de Phishing 5. Cryptage des portables 6. Comment signer nos mails par certificat CNRS? 7. Les bonnes pratiques en termes de sécurité des SI 2

3 Pourquoi de la sécurité? Préserver VOS données : professionnelles, personnelles C'est obligatoire (légal voir CNIL) C'est une nécessité pour le CNRS Protection du patrimoine du laboratoire : La réputation du laboratoire auprès de la communauté internationale (nombre et qualité des publications, qualité des interventions dans les échanges internationaux, prix scientifiques ) La valorisation de la recherche, les brevets déposés, ou en cours de dépôt Le portefeuille de contrats de recherche (organismes publics, entreprises privées ) Les compétences des chercheurs (savoir, savoir-faire) Le potentiel technique (infrastructures, installations ) 3

4 Quels sont les risques? Incidents / infection du système : Virus SPAM, Phishing Installation de porte dérobée : Prise en main à distance du système Attaque d un autre site Utilisation du poste pour des activités illicites : Diffusion d information(peer to Peer, site warez, ) envoi de Spam Perte de données : Vol de données «support USB» Vol de matériel «Cryptage de portable» 4

5 Ce que vous voulez Ce que vous ne voulez pas Installer des programmes librement Échanger vos données avec l extérieur Utiliser le WiFi comme vous voulez Utiliser vos portables sur le réseau d IPN Travailler depuis votre domicile Suivre des conférences à distance Faire de la visioconférence Avoir vos données sauvegardées etc. Avoir des problèmes de sécurité (SPAM, virus, «site warez», ) Perdre vos données «backup» Gérer vos machines (mettre à jour) Avoir des procédures complexes Se voir imposer des choses etc. 5

6 La nature très ouverte du laboratoire (site universitaire) La présence de nombreux visiteurs et stagiaires sont des facteurs de vulnérabilité Les enjeux de la sécurité informatique dans notre laboratoire sont de : Garantir la survie du laboratoire en minimisant les impacts financiers, juridiques et d images d un incident informatique grave Rassurer les chercheurs, l administration et les collaborateurs sur la sécurité de leurs données en cas de piratage La sécurité informatique vise généralement cinq objectifs principaux : L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées La disponibilité, permettant de maintenir le bon fonctionnement du système d'information La non répudiation, permettant de garantir qu'une transaction ne peut être niée L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. 6

7 IPNORSAY serveur d application Linux FreeNX, Exceed ou ssh : ipnorsay.in2p3.fr Panels de logiciels : Matlab, Scilab, Mathematica, Root, Geant4, Lib Cern, compilateurs : C/C++, Fortran, Latex etc. Accès aux partages (Home user, zones projets IPN, etc.) IPNNTS3 et IPNNTS2 deux serveurs d applications Windows Accès Bureau Distant ou Rdesktop : ipnnts3.in2p3.fr Panels de logiciels : Office 2007, Photoshop, Miktex, Matlab, Mathematica, Open Office.etc. Accès aux partages (Home user, zones projets IPN, etc.) Serveur VPN : Une liaison sécurisée et une communication chiffrée entre le client distant et l IPN (authentification et chiffrement par certificat) Filez : serveur de dépôt de fichiers : Ipnobm : Agenda partagé : Ipnwiki : serveur de documentation : Assurant : authentification, Intégrité, confidentialité, etc. Tous les accès depuis l extérieur de l IPN sont complètement cryptés hormis le serveur Web : 7

8 PLAN 1. Pourquoi de la sécurité? Quels sont les risques? Enjeux et menaces Les services sécurisés 2. Gestion des traces 3. Virus et conséquences 4. Spam/Phishing Comment les détecter et comment se protéger? Exemple de Phishing 5. Cryptage des portables 6. Comment signer nos mails par certificat CNRS? 7. Les bonnes pratiques en termes de sécurité des SI 8

9 En raison de la réglementation en vigueur sur la gestion des traces informatiques générées par l utilisateur, le S2I a besoin d enregistrer systématiquement certaines traces générées par les serveurs, les équipements d extrémité (routeurs, commutateur, borne d'accès, ) Afin de : Contrôler le volume d utilisation de la ressource, détecter des anomalies afin de mettre en place de la qualité de service, faire évoluer les équipements en fonction des besoins. Vérifier que les règles en matière de Sécurité des systèmes d information sont correctement respectées. Détecter toute défaillance de sécurité, volontaire ou accidentelle, Détecter toute violation de la loi ou tout abus d utilisation des moyens informatiques pouvant engager la responsabilité de l IPN. Mettre à l abri les preuves nécessaires aux enquêtes en cas d incident de sécurité et pouvoir répondre à toute réquisition officielle présentée dans les formes légales. Supervision du réseau IPN : Serveur EXTRA (EXternal TRaffic Analyzer) est un outil de surveillance réseau en temps réel (Alerte Abuse, trafic anormal, virus.etc.) 9

10 PLAN 1. Pourquoi de la sécurité? Quels sont les risques? Enjeux et menaces Les services sécurisés 2. Gestion des traces 3. Virus et conséquences 4. Spam/Phishing Comment les détecter et comment se protéger? Exemple de Phishing 5. Cryptage des portables 6. Comment signer nos mails par certificat CNRS? 7. Les bonnes pratiques en termes de sécurité des SI 10

11 Un virus informatique est un logiciel de petite taille, transmis d'ordinateur à ordinateur, qui perturbe le fonctionnement d'une machine (souvent Windows). Un virus informatique peut endommager ou supprimer des données de l'ordinateur. Conséquences Envoi de messages «publicitaires» (SPAM) Envoi de fichiers personnels Ajout, destruction ou modification de fichiers Désactivation de logiciel de sécurité Antivirus, garde-barrière Installation de porte dérobée Attaque ciblée de sites web Déni de service Écoute du trafic Vol de mot de passe 11

12 On appelle "Spam" (le terme de pourriel est parfois également utilisé) l'envoi massif de courrier électronique à des destinataires ne l'ayant pas sollicité. Le spamming consiste à envoyer plusieurs s identiques (souvent de type publicitaire) à un grand nombre de personnes sur le réseau. Utilisation de relais de messagerie ouverts ou machines mal sécurisées Nuisance de plus en plus importante : Nombre de messages reçus Contenu des messages Activité plus ou moins légale mais lucrative Conséquences : Surcharge du serveur de messagerie qui peut perturber l'accès internet ou rendre inutilisable la messagerie. Encombrement inutile des boites aux lettres des destinataires. Gêne et perte de temps occasionnée par la lecture, l envoi ou la suppression du mail incriminé. Propagation des virus. 12

13 Phishing, hameçonnage, filoutage... Usurpation de marque dans le but de voler votre identité (informations personnelles telles que comptes et mot de passe, numéro de carte bleue, informations bancaires ) Par le biais d ou de pop-up Fréquemment Alarmiste Non personnalisé Lien dans le message (Fautes d orthographe / grammaire) Le phishing : Technique de fraude mélangeant spamming + usurpation d'identité 13

14 Se méfier si on vous contacte soudainement pour vous demander des informations personnelles (par ou pop-up) Ne pas cliquer sur un lien dans un qui vous demande des informations personnelles Lorsque vous devez vous connecter à un site authentifié, ne cliquez jamais depuis un mail reçu ou en utilisant un lien depuis une page web ex : Utilisez un favori (bookmark) ou tapez manuellement l'url dans le navigateur Si quelqu un vous contacte en vous prétendant que vous avez été victime d une fraude, vérifiez d abord son identité avant de lui communiquer la moindre information Ne jamais fournir d'informations personnelles ou confidentielles en réponse à une requête non sollicitée, que ce soit par courrier, mail, téléphone, fax, etc. Même au service informatique S2I Ne pas rendre visibles les adresses électroniques de vos correspondants lorsque vous créez un groupe ou une liste de diffusion Coder les adresses électroniques dans les pages web pour les rendre indétectables par les logiciels d extraction des spammers (il existe des outils pour coder les adresses!) jean[at]ipno.in2p3.fr ou jean@nospam.ipno.in2p3.fr pour jean@ipno.in2p3.fr Dans le doute, contacter le service informatique S2I 14

15 Au niveau du serveur de messagerie : Nous avons une protection antispam au niveau de notre serveur de Mail, qui identifiera les messages potentiellement dangereux (marquer les mails potentiellement dangereux, X-Scan-SPAM = Yes) Pour filtrer automatiquement les messages «marqués», nous avons une procédure sur le wiki du Labo. Les clients de messagerie Thunderbird et Outlook implémentent aussi une gestion des "indésirables«auto-apprentissage du logiciel à reconnaître les Spam Prochainement nous allons ajouter des nouvelles règles de filtrage Sur le serveur de messagerie «automatiquement» Logiciel de messagerie tenu à jour par le S2I Thunderbird ou Outlook Évitez le mode HTML 15

16 16

17 Tag? X-Scan-SPAM = yes Institution inconnue sans rapport avec nous Message non personnalisé Message alarmiste Tentative flagrante de faire croire à une urgence pour obtenir une réponse sans réflexion. En général, il y a aussi des fautes de frappe, d orthographe, de grammaire Lien trompeur : il aurait pu vous mettre cliquez ici (et derrière le lien il y aura un site frauduleux) 17

18 Le phisher aurait pu mettre le logo IPN 18

19 Usurpation d identité Accès aux données confidentielles (recherche, administration, privé etc.) Spammer avec votre compte valide d autres utilisateurs Se connecter sur des serveurs IPN Nos mails deviennent indésirables sur internet 19

20 PLAN 1. Pourquoi de la sécurité? Quels sont les risques? Enjeux et menaces Les services sécurisés 2. Gestion des traces 3. Virus et conséquences 4. Spam/Phishing Comment les détecter et comment se protéger? Exemple de Phishing 5. Cryptage des portables 6. Comment signer nos mails par certificat CNRS? 7. Les bonnes pratiques en termes de sécurité des SI 20

21 Beaucoup de portables volés Vol opportuniste? Ou ciblé? 5 déclarés IN2P3 en 2009, 13 en 2010, et déjà 8 en Mai 2011 jeudi 23 juin 2011 Exemple de données «sensibles» ou à caractère personnel sur ces portables Données sensibles (contrats, résultat, projets) Mot de passe, clefs SSH, certificats Documents confidentiels «Administration» Solutions Possibles : «Recommandation CNRS» Matérielles Disques chiffrant chez Dell (surcoût euros) N existe que sur le modèle Précision Logiciels (gratuits) Truecrypt sous Windows Dm_crypt sous Linux FileVault sous MacOs 21

22 PLAN 1. Pourquoi de la sécurité? Quels sont les risques? Enjeux et menaces Les services sécurisés 2. Gestion des traces 3. Virus et conséquences 4. Spam/Phishing Comment les détecter et comment se protéger? Exemple de Phishing 5. Cryptage des portables 6. Comment signer nos mails par certificat CNRS? 7. Les bonnes pratiques en termes de sécurité des SI 22

23 Qu est ce qu un certificat? Exemple CNRS2-Standard Une carte d identité électronique Information sur titulaire : nom, prénom, unité Information sur l autorité l ayant délivré Période de validité (1 ou 2 ans) Au-delà «Renouvellement «Les certificats CNRS sont reconnus par un nombre grandissant d'applications en ligne : ISIS, tableau de bord des projets et des activités à l'in2p3 CRAC, Comptes Rendus d'activités des Chercheurs EDMS, outil de documentation projet de l'in2p3 et du CERN Sirhus : dossier de carriere des ITA Votre messagerie électronique (signature électronique de vos messages) 23

24 Certificat électronique personnel = AUTHENTIFICATION sûre de l émetteur d un courriel + INTEGRITE du contenu Amélioration de la confiance Le destinataire est certain de l identité de l émetteur On ne peut plus «se faire passer pour» Simplifier l authentification Le courriel ne peut pas être modifié en «cours de route» Signer un , c'est exactement comme signer un courrier à la main, ça l'authentifie. Ça prouve d'une part que vous en êtes bien l'auteur, et d'autre part que son contenu n'a pas été altéré pendant son voyage sur Internet. La signature électronique possède la même valeur juridique qu'une signature manuscrite Pour nous à l IPN, c'est est un moyen fiable d'assurer la sécurité de nos échanges sur Internet. La signature électronique n'est pas visuelle. Elle est exprimée par une suite de nombres. Comment faire pour signer vos mails avec Thunderbird ou Outlook? 24

25 PLAN 1. Pourquoi de la sécurité? Quels sont les risques? Enjeux et menaces Les services sécurisés 2. Gestion des traces 3. Virus et conséquences 4. Spam/Phishing Comment les détecter et comment se protéger? Exemple de Phishing 5. Cryptage des portables 6. Comment signer nos mails par certificat CNRS? 7. Les bonnes pratiques en termes de sécurité des SI 25

26 De ne communiquer votre compte/password à quiconque. Vous êtes personnellement responsables de votre poste et des données qui y sont stockées. L usage des machines est un usage strictement professionnel Nul ne peut modifier un équipement, aussi bien matériel que logiciel, ni connecter une machine au réseau local sans l accord du service informatique Si vous avez un doute sur le fonctionnement de votre antivirus, n hésitez pas à nous contacter S2I. Les personnes qui disposent de droits administrateur doivent respecter les règles de sécurité (correspondants du S2I) Si vous possédez un compte privilégié local ($xxxxxx) (portable et machine de calcul) Ne l'utiliser que pour des opérations ponctuelles et privilégiées (installation de logiciels spécifiques etc.).ne pas toucher au système Ne pas l'utiliser pour donner à votre compte de domaine des privilèges locaux supérieurs. 26

27 L utilisation à des fins professionnelle de messagerie gratuite est à proscrire Pour des raisons de visibilité et de réputation (de même pour les certificats électroniques CNRS) Ne pas l'utiliser pour installer des jeux et des outils interdits à l'in2p3: TeamViewer, LogMeIn, programmes de téléchargement peer to peer (emule, etc.) Signaler au S2I tout dysfonctionnement, comportements anormaux, etc. D avoir une copie/sauvegarde de ses données importantes Ne communiquez à personne vos numéros de comptes bancaires, vos mots de passe qui pourraient être utilisés à des fins malfaisantes De stocker les données sensibles (info confidentielles, données pouvant donner lieu à un brevet, ) sur des serveurs centralisés qui sont sauvegardés au centre de calcul IN2P3 D'informer vos invités, vacataires, doctorants, et stagiaires des règles énoncées ci-dessus et d'être vigilant de l'utilisation qu'ils font de leur machine 27

28 Bon à savoir Pour récupérer la documentation, se connecter sur Pour poser une question que vous n avez pas eu le temps de poser durant cette session savsii@ipno.in2p3.fr ou appeler le