Les Ateliers Info Tonic. La Sécurité sur Internet Mardi 11 Juin 2013

Transcription

1 Les Ateliers Info Tonic La Sécurité sur Internet Mardi 11 Juin 2013

2 La Sécurité sur Internet par

3 Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5. Norme PCI DSS Copyright Login Sécurité 2

4 Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5. Norme PCI DSS Copyright Login Sécurité 3

5 Quelques faits marquants Piratage du PlayStation Network (2011) Piratage d environ 25 millions de comptes d utilisateurs Vol des données personnelles et bancaires Pertes financières se comptant en milliards de dollars Actions en justice contre Sony Braquage de banques par internet (2013) Détournement des comptes bancaires en supprimant la limite des retraits possibles Un total d environ 45 Millions de Dollars Université François Rabelais de Tours Piratage des serveurs, intrusion dans le système 245 comptes étudiants et chercheurs visités Copyright Login Sécurité 4

6 Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5. Norme PCI DSS Copyright Login Sécurité 5

7 l Homme et l informatique Dépendance croissante à l informatique Environ 70% des entreprises (cf. enquête du CLUSIF de 2010) Importance croissante du rôle de l ordinateur Diffusion de l information Informatisation trop rapide d une entreprise Plus d effet pervers que de vertueux Copyright Login Sécurité 6

8 L évolution des menaces Avant Attaques massives Piratage pour la gloire Attaques visibles Interruption de services Pas d intérêt pour l argent Aujourd hui Attaques ciblées Piratage pour l argent Attaques discrètes, limitées dans le temps Transparentes aux utilisateurs Vol d informations, interruption de services, fraudes Copyright Login Sécurité 7

9 L évolution des attaques Attaques virales massives 37% 67% Attaques informationnelles Atteintes à la vie privée Espionnage industriel Fraude aux moyens de paiement Attaques terroristes contre les infrastructures vitales 38% 38% 43% 42% 38% 33% 60% 50% 56% 51% Copyright Login Sécurité Source : Livre Bleu des Assises de la Sécurité

10 L impact des attaques sur les entreprises % 17% 14% 15% 13% 13% 10% 10% 10% 7% 6% 4% Pertes financières Copyright Login Sécurité Vol de propriétés intélectuelles Compromission de l'image de marque Source : Global State of Information Security 2011, Cabinet PwC 9

11 En résumé Plus de 6 entreprises françaises sur 10 ont subi au moins un accident de sécurité en 2011 Seulement 1 sur 3 en 2010 De même le degré de confiance concernant la sécurité est passé de 87% en 2008, à 55% en 2011 Coûts des incidents en évolution Plus de 1 sur 10 est compris entre et euros Copyright Login Sécurité 10 Source : Global State of Information Security 2011, Cabinet PwC

12 Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5. Norme PCI DSS Copyright Login Sécurité 11

13 Attaque par courriel Canular / Hoax Fausse information, rumeur destinée à saturer la messagerie Mail bombing Attaque consistant à saturer un serveur de mails Spamming Envoi de courriers non sollicités à but commercial Filoutage / Phishing Envoi de courriers permettant le détournement d informations Copyright Login Sécurité 12

14 Attaque réseau TCP/IP Spoofing Forger un message réseau faux et/ou malformé Flooding Inondation en vue de saturer une machine Smurfing Equivalent du flooding mais sur tout un réseau Sniffing Ecoute des communications en vue d obtenir des informations Replay Le rejeu Denial of Service Déni de service ou DNS Hijacking Détournement d une connexion Copyright Login Sécurité 13

15 Attaque par logiciel Backdoor Prise de contrôle à distance Espiogiciel Keystroke Monitoring Keylogger Trapdoor Obtention des droits privilégiés Publiciel / Adware Détournement du navigateur internet Copyright Login Sécurité 14

16 Attaques diverses Buffer Overflow Attaque par débordement Service Poisoning Corruption d un service (détournement de son comportement) Virus Trojans Machine Zombie / Botnet Relais d attaque Copyright Login Sécurité 15

17 Rappels Internet n a pas été conçu avec un objectif de sécurité Internet est basé sur la confiance Nombreux problèmes de sécurité dans la plupart des SI actuels Une intrusion peut durer moins de quelques seconde ou s étendre sur plusieurs semaines Copyright Login Sécurité 16

18 Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5. Norme PCI DSS Copyright Login Sécurité 17

19 Les risques généraux Plantage Mauvaise réactivité Bogues Être attaqué Copyright Login Sécurité 18

20 Conséquences pour les utilisateurs Perte de fichiers Courriels Photos Musiques Documents bureautiques Publicité abondante Vol de données confidentielles Mots de passe Données bancaires Réinstallation du système d exploitation Copyright Login Sécurité 19

21 Conséquences pour les entreprises Dommages potentiels importants Indisponibilité des systèmes Manipulation des données / systèmes Destruction des données / systèmes Coûts importants de remise en marche Financiers (remise en marche, ventes manquées) Temporels (remise en marche, configuration) Humains (juristes, informaticiens) Matériels (serveurs de sauvegarde, redondance, sécurité) Copyright Login Sécurité 20

22 La répartition du coût des incidents Un accident ou une panne matérielle 45% Fuite/Divulgation de données sensibles 11% Intrusion Informatique 9% Fraude Financière 9% Espionnage industriel Sabotage du SI Copyright Login Sécurité 4% 1% Source : Livre Bleu des Assises de la Sécurité

23 L efficacité des moyens de protections 51% Eduquer sur les risques et les bonnes pratiques Renforcer et harmoniser les sanctions internationales Renforcer la surveillance d'internet au niveau mondial 8% Contraindre les FAI à bloquer les attaques 19% 11% 11% Copyright Login Sécurité Créer un internet sécurisé, indépendant d'un internet ouvert 22

24 Les bonnes pratiques Mots de passe Filoutage / Phishing Mises à jour Informations personnelles Sauvegardes Canulars / Hoax Java Pièces jointes Navigation internet Rester vigilant Copyright Login Sécurité Source : 23

25 Les mots de passe Recommandations 12 caractères minimum Majuscules, minuscules, chiffres, caractères spéciaux Noms, dates de naissance Changer son mot de passe Ne pas stocker ses mots de passe Fichiers Logiciels Attaque Brut force Dictionnaire Déduction Copyright Login Sécurité Source : 24

26 Mises à jour / Sauvegardes / Java MAJ Correction de : Bogues / failles de sécurité / vulnérabilité Sauvegardes Création de copies de fichiers en cas de : Perte Destruction Compromission Désinstaller Java Copyright Login Sécurité Source : 25

27 Navigation internet Compte Administrateur Supprimer régulièrement cache, cookies, etc. Mozilla Firefox Attentif à la sécurité «Indiquer aux sites que je ne souhaite pas être pisté» Adblock Plus Liste FR + EasyList «Autoriser certaines publicités non-intrusives» Modules complémentaires Plugins Désactiver les applets Java, ActiveX JavaScript quand c est possible Copyright Login Sécurité Source : 26

28 Exemple d un courriel Objet : Parkings de grandes surfaces Ce n'est pas une blague. Cela est arrivé sur un parking d'auchan (Luxembourg). Message de mise en garde ; Une amie a été approchée hier après-midi dans le parking du centre Auchan/Lux par deux hommes, lui demandant quel parfum elle aimait. Ils lui ont demandé si elle aimerait sentir un échantillon d'une nouvelle fragrance et qu'ils seraient prêts à lui vendre à un prix très raisonnable. Elle aurait probablement essayé si elle n'avait pas reçu un il y a quelques semaines, l'avertissant de la magouille "Essayez notre nouvelle Fragrance". Les hommes ont continué à se promener entre les voitures stationnées, probablement en attente d'une autre victime. Mon amie a arrêté une autre femme qui se dirigeait dans leur direction, et les a montrés du doigt et a averti cette personne de ce qui se passe. ATTENTION CE N'EST PAS UN PARFUM, C'EST DE L'ÉTHER!! Lorsque vous le sentez, vous perdez connaissance et ils prendront tout ce qu'ils veulent: votre sac à main, votre argent, vos courses et qui sait, quoi d'autre. Si mon amie ne s'était pas souciée de cet , elle aurait probablement reniflé le "Parfum"! S V P, PASSEZ CE MESSAGE à TOUTES VOS CONNAISSANCES CECI S'APPLIQUE AUX MAMANS, AUX FILLES, AUX GRAND-MERES, TANTES, SOEURS ET AMIES. Meilleures salutations Guy P. SCHMIT Commissaire en chef B.A.C. Mail : Guy.SCHMIT2@police.etat.lu Copyright Login Sécurité Source : 27

29 Canulars / Hoax Prétend ne pas être un canular Joue sur les sentiments du destinataire Témoignage direct d une personne concernée Urgence Argument d autorité Estime de soi Objectifs du pirate Surcharger un réseau Diffusion Automatique Incitation Obtention de La liste des correspondants (internes à une entreprise par exemple) Déterminer la structure de votre entité et du réseau de personnes qui la composent De l adresse mail des personnes "mal informées" Possibilité d obtenir des informations plus sensibles ultérieurement Copyright Login Sécurité Source : 28

30 Filoutage / Phishing / Hameçonnage Informations personnelles Courriels usurpant l identité d un tiers Liens frauduleux Urgence Demande d informations confidentielles Comment se prémunir Préférer le https au http Ne pas cliquer sur les liens Consulter soi-même le site Ne pas répondre, ni transférer Utiliser des filtres anti-filoutage Prendre contact directement avec le tiers Copyright Login Sécurité Source : 29

31 Pièces jointes Afficher toutes les extensions de fichiers Faire attention aux extensions : Nom anodin.pif /.com /.bat /.exe /.vbs /.lnk Exemple : Photo1.bat Privilégier les formats "inertes" PDF RTF Copyright Login Sécurité Source : 30

32 La sécurité : un problème sérieux La sécurité des machines et des réseaux Doit être la première préoccupation de toute entité utilisant l informatique Entité = gouvernement, entreprises, particuliers, associations, etc. Nécessite une définition Des risques de sécurité D un plan et d une politique de sécurisation Norme ISO 27000, etc. D un plan de réaction aux attaques Copyright Login Sécurité 31

33 En résumé Besoin de spécialistes en sécurité pour définir : Les types d attaques que l entreprise peut subir Les moyens de protection qui sont à mettre en place Les mesures (ou contre-mesures) à utiliser en cas d attaque Les contrôles qui sont à effectuer et leur fréquence Pas de système sûr à 100% Infragard (FBI) hacké par le groupe LulzSec Choisir le bon degré de protection en fonction de ses besoins Adéquation entre les moyens et les objectifs Copyright Login Sécurité 32

34 Sommaire 1. Introduction 2. L évolution des risques 3. Types d attaques 4. L importance de la sécurité 5. La norme PCI DSS Copyright Login Sécurité 33

35 Introduction Création du PCI SSC en 2006 Payment Card Industry Security Standards Council Regroupement de : Visa, MasterCard, American Express, Discover et JCB Principal objectif Définir un référentiel de sécurisation des données cartes bancaires Déclinaison à partir des standards ISO Augmentation du nombre de fraudes massives Copyright Login Sécurité 34

36 Exemples de fraudes massives TJX (présent aux Etats-Unis et en Europe) Compromission de 45,6 millions cartes en 2006 Heartland Payment Systems Inc. (fournisseur de service de paiements) Compromission de 130 millions de cartes en 2008 CardSystems Solutions Inc. (fournisseur de service de paiements) Compromission de 40 millions de cartes en 2005 Faillite de l entreprise Copyright Login Sécurité 35

37 Les 12 Exigences PCI DSS Copyright Login Sécurité 36

38 Explications Organisation en 6 groupes logiques Objectifs de contrôle Indication sur les éléments de données Stockage autorisé ou interdit Obligation de protection ou non Ne s appliquent que quand le PAN est stocké, traité ou transmis Primary Account Number : Numéro de compte primaire Pas d exigence PCI DSS en l absence de : Stockage, traitement ou transmission de PAN Copyright Login Sécurité 37

39 En résumé Non-respect de la norme Amendes jusqu'à $ Restriction voire interdiction permanente La conformité aux normes PCI DSS Renforcer les bonnes pratiques en matière de sécurité des données Protéger les informations confidentielles des titulaires de carte Réduire la fraude et identifier les problèmes de sécurité Copyright Login Sécurité 38

40 Conclusion

41 Avez-vous des questions?

42 Merci de votre attention

43 Les prochains ateliers Info Tonic : 17 Septembre : Mac ou PC pour mon entreprise 8 octobre : Être en règle avec la CNIL

44 4 bis rue Jules Favre BP Tours Cedex 1 Tél