L Agence Nationale de la Sécurité des Systèmes d Information

Transcription

1 L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009

2 Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur la défense et la sécurité nationale *** Volet Cyberdéfense

3 La stratégie de défense et de sécurité nationale Menaces Attentats terroristes Attaques informatiques Menace balistique Pandémie Catastrophes naturelles Criminalité organisée

4 Objectifs prioritaires une cyber défense active Mettre en place une capacité de cyber défense en profondeur comprenant une capacité de détection précoce des attaques une réaction rapide une protection intrinsèque des systèmes la surveillance en temps réel des réseaux les plus critiques

5 Objectifs prioritaires systèmes et produits sécurisés Promouvoir le développement et l utilisation des produits de sécurité Construire, mettre en place et opérer des systèmes d information de confiance au sein du gouvernement

6 Objectifs prioritaires infrastructures vitales Soutenir les opérateurs d infrastructures vitales dans l amélioration de leur niveau de sécurité Vérifier par des audits / inspections le niveau de protection

7 Objectifs prioritaires résilience et internet Internet est une infrastructure vitale L amélioration de la résilience des systèmes d information est une priorité majeure

8 L agence nationale de la sécurité des systèmes d information 7/7/2009 Décret n

9 L ANSSI Agence nationale de la SSI Centre de formation (CFSSI) Communication Stratégie et Réglementation (SR) Systèmes d information sécurisés (SIS) Centre opérationnel (COSSI) Assistance, conseil et expertise (ACE) Relations internationales Réglementation Relations industrielles Centre de certification ISIS, RIMBAUD Autres projets Veille CERTA Coordination Plans & exercices Détection Inspections Crypto appliquée Assistance & conseil Architecture & réseaux Crypto & composants Sans fil

10 Le COSSI Centre Opérationnel de la SSI Coordination Centre de détection (Equipe projet) Bureau plans et exercices Bureau cryptologie appliquée Centre de veille (7/7 24/24) CERTA Bureau inspections en SSI Ministères Opérateurs

11 Le CERTA

12 L assistance opérationnelle : Le CERTA Rôle préventif Veille Fourniture de documents A priori Rôle curatif Analyse et intervention A posteriori Aide à la décision pour le RSSI La réponse technique à l incident

13 Un cas concret Fin mars, une administration française a subit une attaque massive de type DDoS Les services de Web, de messagerie, l accès Internet ont été fortement impactés CERTA, Le CERT gouvernemental Français, est intervenu sur ce dossier La Police française a aussi été impliquée, ce dossier ayant été judiciarisé

14 CERTA & Police : actions Le CERTA a été contacté tôt sur ce dossier Gestion de crise Signalement auprès de la Police Le trafic d attaque provient du monde entier Au moins 7000 bots impliqués Identification de systèmes infectés sur le territoire français

15 En résumé T0: Démarrage du déni de service distribué (DDoS) T0+6h: L opérateur internet met en place un filtrage IP Pas efficace, le DDoS paralyse toujours le site T+12h: Black holing du trafic Web Efficace, mais le DDoS atteint alors son objectif! La messagerie et les autres services sont restaurés T0+20h: Black holing sur les flux internationaux L accès «France» redevient opérationnel T0+24h: fin du DDoS

16 DDoS Hacker Master system zombies Victim

17 Outil de DDoS La Police a identifié des PC français impliqués dans le DDoS Dans les jours suivant, quelques PC ont été saisis en «flagrant délit» Le CERTA a été missionné pour réaliser l analyse «forensic» PC fortement multi-infectés VIRUT, un malware multifonction a été détecté sur plusieurs systèmes

18 Virut Comportement de type Virus (win 32) Infection massive des fichiers.exe sur le système Lancement au démarrage Client IRC basique Activité DDoS Téléchargement d un outil de DDOS dédié Adresse IP du serveur cible codée «en dur»

19 Fonctionnement d un Botnet (IRC) IRC C&C Command BotMaster Botnet Connexion Exploit Vulnerable User Bot download

20

21 Retour Ce dossier est encore en cours d analyse Points positifs Dossier «flagrant délit» Le CERTA est intervenu (contacté) très rapidement Points difficiles Virut est très bruyant, analyse complexe Les Attaque de type DDoS sont toujours complexes

22 Questions?