Introduction Anas Abou El Kalam anas.abouelkalam@enseeiht.fr http://irt.enseeiht.fr/anas 1
Plan chapitre 0 1. Définitions et principes généraux 2. Exemples de menaces de quelques SI 3. Critères généraux de la sécurité des SI 4. Plan et objectifs du cours 2
Un Système d Information (SI) c'est quoi? Selon l IGI 900 * et le SCSSI ** Tout moyen dont : le fonctionnement fait appel à l électricité destiné à élaborer, traiter, stocker, acheminer, présenter ou détruire de l information * IGI = Instruction Générale Interministérielle ** SCSSI = Service Central de la Sécurité des Systèmes d Informations 3
Par extension.. un SI est un ensemble constitué de Données (paramètres de contrôle, données utiles) Programmes (applications informatiques,logiciels) Ordinateurs (Serveurs, postes de travail, réseau) Procédures (développement, exploitation, maintenance) Personnes (utilisateurs, développeurs) Environnement physique Exemple : Ordinateur, Réseau d entreprise, Système de gestion de données 4
Les systèmes d'information sont devenus le centre nerveux des nations modernes Réseau d'entreprise Commerce électronique 5
ÉVOLUTION DES SYSTÈMES D INFORMATION «La sécurité -château-fort- est un leurre dangereux» Les SI aujourd'hui : changent dynamiquement intégration constante de nouveaux outils mises à jour, réorganisations,... se complexifient (hétérogénéité des systèmes), s interconnectent (en interne, mais aussi vers l extérieur) Les technologies évoluent (programmation orientée objet, agents intelligents ) comme les menaces!! 6
Un système d'information est vulnérable à l'écoute passive Sniffer Interception satellite Sniffer Interception HF Branchement Interception GSM 7
. A l'intrusion Porte dérobée Attaque Connexion Vol de session Telemaintenace 8
. A la prise de contrôle Cheval de Troie Log. Douteux Virus Connexion Internet Zombies Cheval de Troie 9
Définitions : Vulnérabilité faiblesse / faille : faute accidentelle ou intentionnelle introduite dans spécification, conception ou configuration du système Attaque Action malveillante qui tente d exploiter une faiblesse dans le système et de violer un ou plusieurs besoins de sécurité Intrusion faute opérationnelle, externe, intentionnellement nuisible, résultant de l exploitation d une vulnérabilité dans le système 10
Définitions : Menace Violation potentielle d une propriété de sécurité Risque Couple (menace, vulnérabilité) 11
Définitions : bombe logique partie de programme qui reste dormante dans le système hôte jusqu à ce qu un instant ou un événement survienne, ou que certaines conditions soient réunies, pour déclencher des effets dévastateurs en son sein cheval de Troie programme effectuant une fonction illicite tout en donnant l apparence d effectuer une fonction légitime la fonction illicite peut être de divulguer ou d altérer des informations, ou peut être une bombe logique 12
Définitions : porte dérobée /backdoors moyen de contourner les mécanismes de sécurité ; il s agit d une faille du système de sécurité due à une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier) Ces passages secrets sont ménagés par les concepteurs de logiciels pour fournir des accès privilégiés pour les tests ou la maintenance. Mais les pirates qui les découvrent peuvent déjouer tous les mécanismes de sécurité et rentrer dans le système. 13
Définitions : virus segment de programme qui, lorsqu il s exécute, se reproduit en s adjoignant à un autre programme (du système ou d application), et qui devient ainsi un cheval de Troie ; Propriétés : infection, multiplication, fct nocive ver programme autonome qui se reproduit et se propage à l insu des utilisateurs 14
Définitions : Ver Autonome, sur DD Souvent par port réseau ne se multiplie pas localement Virus parasites dissimulé dans fichiers ou dans code exécutable contenu dans secteur démarrage disque Arrive souvent par pièce jointe à un mail se multiplie localement 15
Définitions : Spyware contraction de spy et software. Logiciel espion qui collecte des données personnelles avant de les envoyer à un tiers, e.g., Keylogger : transmettre les données saisies au clavier Spamming 'usage abusif d'un système messagerie destiné à exposer délibérément (et de manière répétée) les utilisateurs à des contenus non pertinents et non sollicités 16
Définitions : Sniffing (écoute passive) accéder aux données transmises sur canal de communication (e.g., câble de réseau) stockée sur un support vulnérable (e.g., disques externes). Menace: accès à des informations sensibles, e.g., mot de passe d un utilisateur tapé sur un terminal connecté à un ordinateur central, et qui transite en clair entre ce terminal et la machine. 17
Définitions : Spoofing (usurpation d identité) se faire passer pour quelqu'un d'autre afin de faire une action malveillante (e.g., envoi virus, spam, ) Exemple : IP spoofing = utiliser l'adresse IP d'une machine, ou d'un équipement, afin d'en usurper l'identité. Fishing : site miroir "contrefait" semblables à des portails de renom attirer internaute réellement client du site plagié. 18
Définitions : DoS / DDoS : déni de service attaque d'un serveur destinée à l'empêcher de remplir sa fonction. méthode classique : faire crouler le serveur sous une masse de requêtes généralement mal formées à dessein pour entraîner une réponse anormale et paralysante. L'attaque utilise très souvent une multitude de PC zombies travaillant de concert, infectés par des backdoors/chevaux de Troie et mobilisables à distance par un pirate. Il est aussi possible de bloquer à distance des routeurs en tirant parti de failles de leur software. 19
Plan chapitre 0 1. Définitions et principes généraux 2. Exemples de menaces de quelques SI 3. Critères généraux de la sécurité des SI 4. Plan et objectifs du cours 20
Exemples de menaces Sélection réalisée par un groupe de travail pluriel (consultants, journalistes, RSSI) Résumé obtenu des archives Clusif Apprécier l émergence de nouveaux risques et la tendances des risques déjà connus Le but n est pas l éloge des exploits réussis https://www.clusif.asso.fr 21
1. Carte à puces Serveur transactionnel Client Services financiers Le client insère sa carte bancaire dans la fente et tape son NIP. L'écran demande le montant du retrait. Le client tape le montant du retrait et confirme. Le guichet crée une transaction et l'envoie au serveur transactionnel. Le serveur vérifie l'authenticité de la transaction et la relaie aux services financiers. La transaction est confirmée. Le guichet demande au client de retirer sa carte bancaire. Le guichet remet l'argent au client et imprime un relevé de transaction. 22
1. Fraude au distributeur La fraude aux cartes peut s opérer au niveau technologique : fausse goulotte pour lire la piste magnétique, caméra pour enregistrer la composition du code 23
1. Fraude au distributeur 24
1. Fraude au distributeur Quelques références AFP 17/02/03 Nîmes AFP 09/04/03 Nice AFP 19/12/03 Meaux Source panorama clusif 2003 25
1. Yescard et payements frauduleux -La yescard est une carte à puce programmable qui permettait de faire des transactions d achats sur quelques types d automates de paiement électronique. La réflexion «théorique» a donné lieu à une fraude organisée avec un préjudice de plusieurs MF mais très localisée à quelques départements. Chronologie -Printemps 2001, création d un groupe de «yescarder» -Eté reportages presse et télé, exploitations «personnelles» -Automne, mise en place de réseaux organisés notamment à proximité d automates de distribution de carburant. Source panorama clusif 2001 26
1. Yescard et payements frauduleux Quelques détails En dessous d un seuil de transaction d achat, l authentification de la carte et de son porteur sont fait en local. Seuls les automates (carburant, titre de transport, location vidéo, etc.) sont concernés -Les DAB/GAB requièrent une demande d autorisation en ligne. - Les TPE chez les commerçants nécessiteraient la contre-façon visuelle de la carte ou une collusion. 27
1. Yescard et payements frauduleux Contexte -Connaissance du principe dans le milieu professionnel -Affaire judiciaire Serge Humpich vs GIE-CB -Diffusion des clefs sur Usenet donne la décomposition du module opérationnel. 21359870359209100823950227049996287970510953418264 17406442524165008583957746445088405009430865999 = 1113954325148827987925490175477024844070922844843* 1917481702524504439375786268230862180696934189293. -Migration EMV 5.1 et 5.2 depuis janvier 2002 avec durcissement du processus d authentification et de non répudiation (clef 768bits) 28
2. Téléchargement illicites : les risques pour l entreprise Jugement TGI Marseille du 11/06/03 : Un employé de Lucent Technologies conçoit un site personnel dénonçant les abus (selon lui) de sa société Escota. Il met en ligne ce site depuis son poste de travail. Le tribunal de grande instance de Marseille condamne l auteur de ce site mais aussi sa société en considérant que la faute a été commise dans l exercice de ses fonctions (article 1384 du code civil) Décision du conseil d état du 15/10/03 : le conseil d état confirme l exclusion temporaire d un adjoint technique de recherche. Cet employé avait utilisé l adresse électronique de son directeur de laboratoire pour communiquer sur le site d une secte. L entreprise a été avertie de ce problème par un autre salarié et a a priori constaté le fait sur le site sans prendre connaissance du contenu des mails. 29
2. Téléchargement illicites : les risques pour l entreprise Cadre légal -La responsabilité pénale des employés est engagée en cas d utilisation illicite de moyens informatiques de l entreprise : droit d auteur et des marques pour téléchargement de logiciels pirates, documents audio ou films (mp3, DIVX, mpeg4,..), loi Godfrain (code pénal : 323.1, 323.2 et 323.3), pour les tentatives d intrusion et altération d un système -La responsabilité civile des entreprises peut aussi être établie si les tribunaux considèrent que l employé en faute était «dans l exercice de ses fonctions» en s appuyant sur l article 1384 du code civil (ou responsabilité du commettant du fait du préposé) http://www.legalis.net/jnet/2003/actualite_07_2003.htm http://www.celog.fr/silex/tome1/chap_1-1.htm 30
3. Les virus Internet, les vers : Code Red 17 Juillet 2001: le virus CodeRed commence une diffusion ultra rapide via Internet (250 000 systèmes infectés en moins de 9 heures). cible les serveurs IIS de windows utilise le protocole TCP/IP et le port 80. défigure les pages web hébergées en y apposant la signature "Hacked by Chinese " utilise un moteur de scan d adresses IP puis s auto-installe sur les systèmes vulnérables identifiés entre le 1er et le 19 de chaque mois, le virus se propage, puis à partir du 20, il attaque (DoS) le site Web de la Maison Blanche 31
3. Les virus Internet, les vers : NIMDA Ver se propageant à l'aide du courrier électronique, exploite également 4 autres modes de propagation : web répertoires partagés failles de serveur Microsoft IIS échanges de fichiers Affecte particulièrement les utilisateurs de Microsoft Outlook sous Windows 95, 98, Millenium, NT4 et 2000. 32
3. Les virus Internet, les vers : NIMDA récupère @ présentes dans carnets d'adresses de Microsoft Outlook et Eudora, fichiers HTML présents sur le DD de la machine infectée. envoie à tous les destinataires un courrier dont corps est vide, sujet est aléatoire/long pièce jointe nommée Readme.exe ou Readme.eml se propager à travers répertoires partagés des réseaux Microsoft Windows en infectant les fichiers exe s'y trouvant consultation de pages Web sur serveurs infectés peut entraîner une infection lorsqu'un utilisateur consulte ces pages (ie5) Exploite certaines failles de sécurité de IIS 33
3. Les virus Internet, les vers : NIMDA Symptômes postes infectés possèdent sur leur disque fichiers : README.EXE README.EML fichiers comportant l'extension.nws fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe Eradiquer déconnecter la machine infectée du réseau utiliser un antivirus récent / kit de désinfection de Symantec patch pour Microsoft Internet Explorer 5.01 et 5.5. 34
3. Exemple de mode de propagation des virus via email 24 Octobre 2002 : réception d une carte virtuelle Friend Greeting application envoyée par un ami. 35
3. Exemple de mode de propagation des virus via email Sans me méfier je clique sur le lien car j ai envie de voir le message 36
3. Exemple de mode de propagation des virus via email Sans prêter trop attention à ce qui se passe, je répond oui à quelques questions et me voilà prêt à «relayer» des email 37
3. Exemple de mode de propagation des virus via email Me voilà récompensé!! Et rapidement inquiet en voyant le compteur de messages envoyés de mon poste!!! 38
4. La menace stratégique : Echelon U n s ys tèm e es pion : nom de c ode É C H E LO N A c c ord s ec ret U K / U S A (1948) entre 5 org a nis a tions E s pionna g e m ilita ire, de s éc urité, c ivil, éc onom ique Les m oyens S ix ba s es d'éc oute des téléc om m unic a tions R és ea u de s a tellites es pions P uis s a nc e inform a tique : tri et filtra g e 39
4. La menace stratégique : Echelon U n exem ple : la N S A - La plus grande agence d'espionnage du monde - Créée en 52, plus de 20 000 agents - Budget annuel ~ 3 G - Aide des armées et du National Reconnaissance Office - Concentration mathématiciens, linguistes, analystes C lients Maison Blanche, Département d'état, CIA, FBI, Pentagone, DEA, Trésor, Département du Commerce M is s ions Écouter, enregistrer, décoder, traduire, analyser les informations Casser les codes de chiffrement Élaborer des codes de chiffrement 40
Actualités Sécurité clusif Usurpation d'identité sur les sites d'enchères 28/08/03, Transfert Indiscrétion des fichiers word sur le Web 15/08/03, Branchez-vous.com Lovsan (W32.Blaster), le virus qui exploite les failles de Windows 12/08/03, Zdnet.fr Des virus dissimulés derrières du spam 01/8/03, VNUnet.fr Des militaires d'élite utilisent du matériel sans fil non sécurisé 22/03/02, Zdnet Une faille de sécurité sur le protocole SNMP 13/02/02, Reuters San Fransisco Première élection en ligne chez les avocats 19/11/01, Yahoo/Transfert Escroquerie à la carte bancaire chez les abonnées d'aol 07/08/01, Yahoo/AFP La commission europenne veut unifier les PKI 19/07/01, Le monde informatique Projet de rapport europeen sur le projet Echelon 20/06/01, Zdnet 41
Contexte stratégique : Quels agresseurs et quelles cibles Etats étrangers Espionnage économique Terrorisme politique et religieux crime organisé Hackers Utilisateurs Politiques Militaire Economique (industrielle, financière, commerciale) Scientifique 42
En résumé : le système d'information doit être protégé Le attaques peuvent être conduites à tous les niveaux du plus élevé (humain) Problèmes Mise en œuvre (environnement de sécurité déficient) Au plus bas (matériel) Authentification de l'utilisateur (contournement ou connexion forcée) Logiciel (erreurs, failles programmes, vers, virus, chevaux de Troie) Réseau (écoute, mascarade, attaques de routeurs) Matériel (failles ou défaillance des matériel) 43
Pistes pour l analyse de sécurité Sécurité informatique = sécurité de l'information Analyser la sécurité d'un système Énumérer ses vulnérabilités Déterminer les menaces Proposer des contre-mesures 44
Plan chapitre 0 1. Définitions et principes généraux 2. Exemples de menaces de quelques SI 3. Critères généraux de la sécurité des SI 4. Plan et objectifs du cours 45
LA SÛRETE DE FONCTIONNEMENT 46
SdF : CONCEPTS DE BASE La sûreté de fonctionnement (dependability) d'un système informatique est la propriété qui permet à ses utilisateurs de placer une confiance justifiée dans le service qu'il leur délivre. Service = comportement du système tel qu'il est perçu par les utilisateurs. Utilisateur = un autre système avec lequel il interagit (humain ou physique) 47
SdF : ATTRIBUTS Selon les points de vue (ou domaines d'application), on s intéresse à la capacité du système à : Être prêt à délivrer le service disponibilité (availability) Assurer la continuité du service fiabilité (reliability) Pouvoir être réparé et évoluer maintenabilité (maintainability) Ne pas provoquer de catastrophe sécurité-innocuité (safety) Éviter les divulgations illicites confidentialité (confidentiality) Éviter les altérations intégrité (integrity) 48
SdF : ENTRAVES (1/7) Défaillance : le service délivré par le système dévie de l accomplissement de la fonction du système Erreur : partie incorrecte de l'état du système Faute : cause adjugée ou supposée d'une erreur Cause Faute externe Faute interne Erreur État du système Service Défaillance service incorrect 49
SdF : ENTRAVES (3/7) Exemple : faute physique Court-circuit : dans un circuit intégré, la migration d une piste métallique provoque une modification de la fonction logique : défaillance du circuit c est une faute dormante qui, lorsqu on utilisera le circuit avec certaines valeurs, provoquera une erreur (valeur erronée) cette erreur peut se propager et provoquer de faux résultats : défaillance du système 50
SdF : ENTRAVES (4/7) Exemple : faute de conception Bogue la défaillance d'un programmeur (instruction erronée) est une faute dormante cette faute peut être activée par certaines valeurs des paramètres, provoquant des erreurs ces erreurs peuvent se propager et produire une défaillance du système : le service n'est pas conforme (en valeur ou en instant de délivrance). 51
SdF : ENTRAVES (5/7) Exemple : faute de conception Bombe logique Un programmeur malveillant introduit une bombe logique : faute dormante cette faute peut être activée par certaines conditions spécifiques (ex: à une date donnée) provoquant des erreurs (ex: formatage disques) qui peuvent conduire à la défaillance du système 52
SdF : ENTRAVES (6/7) Exemple : Intrusion Attaque = faute d interaction délibérée Intrusion = faute interne résultant d une attaque Système informatique Pas de test débordement Attaque Faute externe Vulnérabilité Faute de conception Intrusion Faute interne 53
SdF : ENTRAVES (7/7) Autres exemples Maladresse des utilisateurs, des opérateurs, des agents de maintenance : fautes d interaction accidentelles Documentation erronée ou incomplète : faute de conception Formation insuffisante : faute de conception? 54
MOYENS DE LA SdF Moyens de la SdF méthodes, outils et solutions pour y y Fournir au système l'aptitude à délivrer un service conforme à l accomplissement de sa fonction valider le système, pour donner confiance dans cette aptitude 55
MOYENS DE LA SdF : FOURNITURE Prévention des fautes : empêcher, par construction, l'occurrence ou l'introduction de fautes développer les SI de telle façon à éviter d introduire des fautes de conception ou de fabrication, et à empêcher que des fautes ne surviennent en phase opérationnelle Tolérance aux fautes : fournir, par redondance, un service conforme à l accomplissement de la fonction, en dépit des fautes 56
MOYENS DE LA SdF : VALIDATION Élimination des fautes : réduire, par vérification, la présence (nombre, sévérité) de fautes : preuve, test e.g., test ciblant la vérification de propriétés de sécurité-innocuité (en complément des techniques de preuve et de vérification de modèles) Prévision des fautes : estimer, par évaluation, la présence, la création et les conséquences des fautes e.g., évaluation analytique et évaluation expérimentale 57
Concept s de base Prévention des fautes Évitement Tolérance aux fautes Acceptation Élimination des fautes Prévision des fautes Sécurité-confidentialité Politiques sécurité Tolérance aux intrusions Modélisation probabiliste Hiérarchisation Classes de fautes Algorithmes & mécanismes Réseaux de micro-systèmes Systèmes répartis mobiles Systèmes robotiques autonomes Mise en œuvre par réflexion Empaquetage d exécutifs Test du logiciel Test et preuve formelle Test orienté propriété Mécanismes réflexifs Évaluation expérimentale Étalonnage Analyse systèmes hétérogènes Caractérisation d exécutifs Fautes physiques Fautes de conception Intrusions 58
LA SECURITE 59
SECURITE : DEFINITIONS sécurité-innocuité (safety) : concerne la prévention de catastrophes sécurité satisfaisante aucune des défaillances éventuelles ne peut provoquer de dégâts importants Ex : systèmes de transport ou de contrôle des centrales nucléaires security : concerne capacité syst informatique à résister à : des agressions externes physiques (incendie, inondation, bombes, etc.) ou des agressions logiques (erreurs de saisie, intrusions, piratages, etc.). Ex : lors d un audit de sécurité évaluation des risques liés à l informatique. Confidentialité + intégrité + disponibilité 60
Sûreté de Fonctionnement & SECURITE : RECAPITULONS Sûreté de Fonctionnement Fiabilité continuité de service Sécurité-innocuité pas de conséquence catastrophique = propriété qui permet de placer une confiance justifiée dans le service délivré par le système Disponibilité prêt à être utilisé Confidentialité pas de divulgation non-autorisée Intregrité pas d'altération Maintenabilité capacité à être réparé et à évoluer Sécurité des S.I. = combinaison de confidentialité, d'intégrité et de disponibilité [Itsec91] 61
CONFIDENTIALITE propriété d une info de ne pas être révélée à des U non autorisés à la connaître empêcher les Users de lire une information confidentielle, et empêcher les Users autorisés à lire une info et de la divulguer à d autres Users Que faire? analyser tous les chemins qu une information peut prendre prendre en compte les connaissances qu un ou plusieurs utilisateurs peuvent déduire à partir des informations qu ils acquièrent. Contrôler les liens logiques qui peuvent relier les informations entre elles ou avec des informations publiques ESPION S T A T I O N D E T R A V A I L S T A T I O N D E T R A V A I L Attaques? Écoutes passives, canaux cachés, 62
M: Message clair C: Message chiffré K: Une clé secrète 63
Démo Ethereal Captures de paquets PING Captures de paquets FTP Captures de paquets HTTP Captures de paquets HTTPS 64
INTEGRITE propriété d une information de ne pas être altérée empêcher une modif indue de l information, càd modif par User non autorisés ou une modif incorrecte par des utilisateurs autorisés, et faire en sorte qu aucun User ne puisse empêcher la modif légitime de l info Que faire? avoir l assurance que toute modif est approuvée et que chaque programme se comporte de manière correcte s assurer qu aucune info ne peut être modifiée (intentionnellement ou accidentellement) par des intermédiaires, Fcts de hachage, contrôle d intégrité Attaques? Déguisement, rejeu 65
M: Message clair H(M): Algorithme de hachage 66
DISPONIBILITE propriété d une info d être accessible lorsqu un utilisateur autorisé en a besoin. fournir l accès à l information pour que les U autorisés puissent la lire/modifier faire en sorte qu aucun U ne puisse empêcher les U autorisés d accéder à l info Types de dispo accessibilité immédiate : accès en respectant les délais pérennité : dispo de données persistantes (durée de validité) Attaques? Que faire? DoS? DDoS, Sauvegardes, et organisation des sauvegardes droits d'accès, accès contrôlés protection des services sensibles par soft firewalls 67
CONFIDENTIALITE + INTEGRITE + DISPONIBILITE (Info + Méta_Information) Authenticité : intégrité du contenu (donnée( donnée), de l identité (méta-donnée( méta-donnée) Anonymat : confidentialité de l identité (méta-donnée) Traçabilité : intégrité et disponibilité de méta-données 68
4. Aytres propriété : Non Répudiation (1) «Qualité d un système qui permet d'imputer de façon certaine une opération à un utilisateur à un moment donné» Impossibilité pour un correspondant de nier avoir reçu ou émis un message : signature électronique Les solutions s appuient sur le chiffre à clés publiques 69
4. Non Répudiation (2) M: Message clair H(M): Message haché S KA : Clé secrète C: Message chiffré K: Clé secrète De: prof@ecole.fr A : eleve@ecole.fr Objet : exam Exam demain 9h Internet Faux prof Vrai serveur élève 70
SECURITE : LES MOYENS Identification, authentification Politiques d autorisations et privilèges Gestion des droits et des privilèges Contrôles d accès logiques et physiques Profils de protection, classes de fonctionnalités Évaluation, certification, accréditation, agrément, Journalisation ("audit") des événements liés à la sécurité 71