Cours 2 : Menaces et attaques ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html
Plan du cours 2 Introduction 1 Introduction 2 3 4
Intoduction Introduction Que protéger? Liste des biens à protéger De quoi les protéger? Liste des menaces Quels sont les risques? Liste des impacts et probabilités Comment protéger l entreprise? Liste des contre-mesures DEMARCHE NORME ISO 17799
Les menaces : accidents erreurs malveillance typologie des incidents norme ISO 17799
accidents erreurs malveillance pertes de services essentiels pannes d origine interne évènements naturels accidents physiques erreurs de conception erreurs d utilisation vols ou disparitions infection par virus divulgations attaques logiques actes de dénigrement ou atteinte à l image sabotages physiques intrusions sur les SI fraudes informatiques chantage, extorsion informatique intrusions, accès par un dispositif sans fil
Accidents incendie, explosion, implosion dégât des eaux problème d intégrité du bâtiment catastrophes naturelles pannes internes (composant) logiciel de base externes (ex : climatisation, alimentation, ) arrêt de services (EDF, Télécommunications, eau, ) choc, collision, chute, pollution, rayonnement,
Erreurs erreurs de saisie, de transmission de données erreurs d exploitation erreurs de conception dans la réalisation ou la mise en oeuvre des : logiciels procédures disponibilité des personnes
Malveillances ce que l on voit ce que l on connaît ce que l on ne connaît pas ce que l on ne peut pas imaginer la malveillance n est pas toujours visible il est toujours possible de déstabiliser un site : refus de service inondation : saturation par envoi de courrier électronique blocage de compte par tentatives répétéees de connexion infructueuse
Malveillances (suite) fraude, sabotage détournement à son avantage (versement, chantage, extorsion, ) sabotage immatériel (destruction dans le seul but de nuire) dénis de service indiscrétion ou écoute de ligne détournement copie de message espionnage actions indésirables spams ou inondation stockage pirate
Malveillances (suite) actions + ou - mal intentionnées curiosité, jeu, ) décodeur canal+ craquage de codes (cartes crédits, ) piratage de logiciel craquage de sécurité copie illicite gravage menaces dues aux télécommunications
Malveillances (suite) Menaces dues aux télécommunications interruptions de service ou disfonctionnement altération des données transmises usurpation d identitée divulgation d informations à un tiers action malveillante transmise
Problèmes de l imputabilité, de la répudiation, de la responsabilité lorsqu un problème intervient, comment prouver : que cela a été envoyé? qui l a envoyé? qu il a été reçu? par qui? et par qui d autres? qui a fait l erreur? qui est propriétaire du support de communication? qui peut en être garant? questions fondamentales lors d un litige
Problèmes de l imputabilité, de la répudiation, de la responsabilité éléments de réponses : identification(identifiant entité) autentification(garantir l identifiant) chiffrement le scellement informatique accusé de réception tunnel de données
Désinformation, propagande, déstabilisation, crédulité falsification des sons, des images, des vidéos véracité de l information d où vient l information? qui l a fournie? après vu à la télé, vu sur internet? Quelles conséquences?
Evolution des menaces quelques chiffres (sources CLUSIF) accidents 24% : en baisse (effets matériels palpables) erreurs 14% : en forte baisse (amélioration de la qualité des logiciels) malveillance 62% : en forte hausse (en progression constante)
Evolution des menaces aspect politico-économique jusqu à la fin des années 1980 : contexte de guerre froide aspect militaire de la sécurité : règles du jeu claires : qui menace? que protéger? : les informations sensibles comment les protéger? aujourd hui : contexte de guerre économique menaces tout azimut : qui : le concurrent, le terroriste, quoi : toutes les informations de l entreprise comment : les réseaux, les intervenants extérieurs, les virus,
attaques virales attaques techniques attaques classiques
attaques virales : Porte dérobée (backdoor) Fonction d un programme non autorisée et qui ne participe en rien aux objectifs officiels d un programme à priori malveillante d aucune utilité autre que pour son concepteur s exécute à l insu de l utilisateur exemples : SGBD Interbase 2001, Linux 2003
attaques virales : Porte dérobée (backdoor) exemples SGBD Interbase 2001 nom d utilisateur : politically, mot de passe : correct Linux 2003 2 lignes de C dans la fonction sys-wait4 if ((options == ( WCLON WALL)) && (current->uid = 0)) retval = -EINVAL ;
attaques virales : Cheval de Troie (Tojan) Programme, jeu, commande ayant une fonction annoncée et en réalisant une autre (illicite) attaque classique s exécute à l insu de l utilisateur exemple 2005 : cheval de troie envoyé par email ou intégré à un CD contenant une fausse proposition commerciale. Une fois installée et contre 3000 euros, le concepteur fournissait à son client une adresse IP, un nom d utilisateur et un mot de passe pour accéder au PC de sa victime
attaques virales : Cheval de Troie exemples Back Orifice : logiciel d administration et de prise de contrôle à distance de machines utilisant Windows Subseven : l un des chevaux de troie les plus connus, en 2000 il a intoduit : surveillance par caméra (Webcam capture) surveillance en temp réel du bureau Windows (Desktop Capture) le vol de mots de passe (Recorded Password) par lequel subseven détecte les écrans de demande de mot de passe (Windows, Internet ) permet la capture-clavier (Keylogger) pour récupérer les numéros de cartes de crédits autres chevaux de Troie : ByteVerify, XXXDial,
attaques virales : Bombe logique Action malveillante généralement différée chantage racket
attaques virales : Virus programme illicite qui s insére dans des programes légitimes appelés hôtes se reproduit automatiquement, se transmet, peut avoir des actions retardées se répand au travers d internet, de disquettes, de clés USB analogie avec la biologie : contagion virus système, virus résident en mémoire, virus programme, virus macro, virus polymorhe ou mutant, virus de scripts
attaques virales : Virus exemple Tchernobyl ou CIH Yamanner Cabir...
attaques virales : Vers (worm) Processus parasite qui consomme, détruit et se propage sur le réseau n a pas besoin d un programme hôte pour se reproduire (contrairement au virus) se reproduit par ses propres moyens sans contaminer de programme hôte souvent écrits sous forme de script intégrés dans un courriel, une page html
attaques virales : Vers (worm) exemples : internet worm en 1988 atteinte de millers de stations Unix en 24h le fameux I Love you Bagle SQL Slammer Santy...
attaques virales : Canular (Hoax) messages diffusant de fausses alertes au virus messages diffusant des rumeurs encombrement des boîtes aux lettres encombrement du réseau ralentissement de l activité
attaques techniques : Hameçonnage (Phishing) piegeage de l utilisateur en lui faisant croire qu il s adresse à un tiers de confiance pour lui soutirer des informations confidentielles (mot de passe, no de carte de crédit...) on lui demande son mot de passe on lui demande de le changer exemple : services bancaires en ligne, sites de ventes aux enchères (Ebay)
attaques techniques : Hameçonnage (Phishing) exemple l utilisateur reoit un message :
attaques techniques : Hameçonnage (Phishing) exemple il va cliquer sur le lien il croit qu il se connecte sur le site LCL il saisit des informations confidentielles MAIS il ne se connecte sur un faux site LCL et un pirate récupère ces informations
attaques techniques : Hameçonnage (Phishing) rapport APWG (2006-2007) 37 444 sites frauduleux signalés nombre d attaques par hameçonnage :
attaques techniques : Craquage (Cracking) craquage de mot de passe à l aveuglette comparaison du chiffrement de mots de passe supposés et de mots chiffrés dans le fichier /etc/passwd ou /etc/ypasswd exemple : craquage de de jeux ou de logiciels
attaques techniques : Renifflage (Sniffing) analyse du traffic pour récupérer mots de passe et informations confidentielles sondes plaçées sur le réseau pour écouter et récupérer des informations à la volée solutions : protocoles de communication sécurisés (ex SSH, SSL)
attaques techniques : Mascarade (Spoofing) utilisation de l adresse IP d une machine afin d en usurper l identité. récupération de l accès à des informations en se faisant passer la machine dont elle a usurpé l adresse IP création de paquets IP avec une adresse IP source appartenant à quelqu un d autre
attaques techniques : Smurfing attaque du réseau IP envoi d un message à une adresse fausse provoque la saturation et le blocage du réseau
attaques techniques : Piratage téléphonique (Phreaking) utilisation du réseau téléphonique d une manière non prévue par l opérateur, afin d accéder à des fonctions spéciales, en général pour ne pas payer les communications et rester anonyme exemple : Captain Crunch
attaques techniques : Composeur d attaques (Dialer) logiciel balayant une série de numéros de téléphones à la recherche d un ordinateur distant Le logiciel compose des numéros de téléphone dont le côut d appel est surtaxé exemple : années 1990, (besoin d un MODEM)
attaques techniques : Rootkit programme ou ensemble de programmes permettant de maintenir dans le temps un accès frauduleux à un SI s utilise après une intrusion et l installation d une porte dérobée fonction principale : camoufler la mise en place de plusieurs portes dérobées opère des modifications sur les commandes systèmes l installation d un rootkit nécessite des droits d administrateur exemple : octobre 2005 Rootkit SONY-BMG
attaques techniques : Dénis de service (DoS) rendre une application informatique incapable de répondre aux requêtes des utilisateurs types d attaques nombreux : débranchement de la prise d un serveur saturation d un élément chargé d animer l application exemple : bombe fork Dénis de service distribués (DDoS) repose sur la parallélisation d attaques DoS menées simultanément par plusieurs systèmes
attaques techniques : Robots programmes malveillants permettant une prise de contrôle à distance de machines vulnérables afin de former un réseau d attaque caché (botnet) pour s implanter le robot utilise une méthode classique il peut être déposé sur la cible par spam, vers, virus, cheval de troie... il peut posséder son propre module de propagation et exploite : une vulnérabilité des partages ouverts (open share) des mots de passe faibles ou manquants exemple : Hollande octobre 2005 (rapport CLUSIF)
cybersurveillance Réseau d écoute Echelon (USA +UK) technologies interceptées 1956 : signaux radio HF 1965 cables sous-marins 1968 micro-ondes 1970 satellites 1980 réseaux digitaux 1990 fibres optiques 2000 internet / portables
cybersurveillance Réseau d écoute Echelon (USA +UK)
cybersurveillance Réseau d écoute Echelon (USA +UK) objectif officiel : lutter contre terrorisme grand banditisme MAIS aussi : intrusion/interception espionnage industriel politique vie privée
cybersurveillance Autres réseaux d écoute Frenchelon & ESSAIM (français) Nice Track (belge) Magic Lantern (FBI) SORM (russe)
crée en 2003 surveillance radar, radio orbite 680 km d altitude cybersurveillance Frenchelon & ESSAIM 4 microsatellites sur des orbites perpendiculaires station de contrôle à Toulouse LSI ou loi Sarkosy II (mars 2003) conservation des données relatives au trafic sur Internet!!!
attaques classiques vol détournement destruction sabotage chantage exemples : (rapport CLUSIF 2005)
cybercriminalité (CLUSIF 2005) vols de code source chantage, extorsion, racket sur Internet cyberterrorisme menaces sur la mobilité (téléphones) hameçonnage économie souterraine espionnage industriel vols et pertes de données, d ordinateurs, de supports de sauvegarde harcèlement
cybercriminalité (CLUSIF 2006) panorama 2006 les mules vols d identité SPIT nouvelles opportunités de spamming manipulation du cours de la bourse vulnérabilités et attaques 0-Day écoutes et enquêtes à haut risque
cybercriminalité (CLUSIF 2008) panorama 2007 mondes virtuels attaques en réputation piratage pour focaliser l attention espionnage industriel réseaux sociaux : nouvelles opportunités de malveillance
panorama 2007 cybercriminalité (CLUSIF 2008) sophistication des attaques enjeux malveillants sur le e-commerce fraude aux cartes bancaires via internet escroqueries via les sites d enchères faits marquants cyber-guerre en Estonie cyber-attaques chinoises
cybercriminalité (CLUSIF 2008) : Les mondes virtuels
cybercriminalité (CLUSIF 2008) : Les mondes virtuels
cybercriminalité (CLUSIF 2008) : Les mondes virtuels les mondes virtuels ont des monnaies virtuelles
cybercriminalité (CLUSIF 2008) : Les mondes virtuels piratage sur les mondes virtuels : chevaux de Troie, vol de mot de passe virus hammeçonnage (phishing) exploitation de tiers (farming)
cybercriminalité (CLUSIF 2008) : Les mondes virtuels chevaux de Troie, vol de mot de passe
virus cybercriminalité (CLUSIF 2008) : Les mondes virtuels
cybercriminalité (CLUSIF 2008) : Les mondes virtuels hammeçonnage
cybercriminalité (CLUSIF 2008) : Les mondes virtuels exploitation de tiers
cybercriminalité (CLUSIF 2008) : Les mondes virtuels fournisseurs et éditeurs dont il faut se méfier
panorama 2007 cybercriminalité (CLUSIF 2008) attaques en deni de service (DoS ou DDoS) CastleCops organismes de lutte anti-spam et anti-phishing attaques en réputation CastleCops : donations frauduleuses
cybercriminalité (CLUSIF 2008) panorama 2007 : attaques en réputation : donations frauduleuses virements Paypal effectués au profit de CastleCops source des donations : comptes bancaires piratés par phishing montant des donations : 1 à 2800 US $ CastleCops : coupable désigné image altérée perte de temps, de moyens, d argent vérifications, comptabilité, remboursements actions en justice blocage de compte
cybercriminalité (CLUSIF 2008) panorama 2007 : espionnage industriel volume d affaires d espionnage industriel ne faiblit pas espionnage industriel : employés de l entreprise 2 grandes affaires dans le monde de la Formule 1 en 2007 Mc Laren et Ferrari Renault-F1 et Mc Laren
cybercriminalité (CLUSIF 2008) panorama 2007 : réseaux sociaux : opportunités de malveillance nombreux réseaux sociaux sur internet (Classmates, Facebook, Myspace etc..) pour certains d entre eux : des millions d inscrits possibilités d attaques accès frauduleux : Facebook 2007 impostures : Myspace 2007 infections : Myspace 2007
Les clubs,observatoires associations, sites internet CLUSIF, CLUb de la Sécurité Informatique en France http ://www.clusif.asso.fr OSSIR, Observatoire de la Sécurité des systèmes d Information et des Réseaux http ://www.ossir.org CRU, Centre des Réseaux Universitaires http ://www.cru.fr CNRS et UREC, Unité des Réseaux du Cnrs http ://www.cnrs.fr/infosecu
Introduction loi informatique et libertés no 78-17 du 6/01/78 relative à l informatique et aux libertés (modifiée en 92 et en 93) loi relative à la fraude informatique 92-957 du 01/07/92 loi relative aux infractions aux règles de cryptologie du 29/07/81, modifiée le 26/07/96, modifiée le 17/03/99 décret no 99-199 du 17/03/99 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d autorisation décret no 99-200 du 17/03/99 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalié péalable
Introduction loi sur la signature électronique 200-230 du 13/03/00 l écrit électronique signé a la même valeur que l écrit signé sur papier équivalence papier électronique en présence de signature la signature électronique jusqu à preuve du contraire authentifie le signataire et garantit l intégrité du document (article 4) Loi sur la signature électronique 200-230 du 13/03/00 revient à faire confiance à l organisme qui fournit la signature électronique loi de règlementation des télécomunications du 26/07/96 règles au niveau européen lignes directrices au niveau mondial (OCDE)
Introduction Criminalité des hautes technologies (OCLCTIC) criminalité informatique (définitions) toute action illégale dans laquelle un ordinateur est l instrument ou l objet d un délit (délit dont le moyen ou le but est d influencer la fonction de l ordinateur) tout acte intentionnel associé d une manière ou d une autre à la technique informatique dans laquelle une victime a subi ou aurait pu subir un préjudice et dans laquelle l auteur a tiré ou aurait pu intentionnellement tirer profit cybercriminalité ensemble des infractions pénales susceptibles de se commettre sur des réseaux de télécommunications en général et plus particulièrement sur les réseaux partageant Internet
Introduction Code pénal article 323.1 accéder frauduleusement à un système de traitement automatisé de l information article 323.2 entraver ou fausser un système de traitement automatisé de l information article 323.3 introduire frauduleusement des données dans un système de traitement automatisé de l information conduit à un délit pénal passible de : 3 ans d emprisonnement 50 000 euros d amende
Introduction Quelques sites http ://www.journal-officiel.gouv.fr http ://www.legifrance.gouv.fr http ://www.jurifrance.gouv.fr http ://www.justice.gouv.fr
Introduction Quelques organismes officiels CNIL : http ://www.cnil.fr DCSSI : http ://www.ssi.gouv.fr CESTI OCLCTIC : http ://www.interieur.gouv.fr/police/oclctic ART : http ://www.art-telecom.fr CERT
Introduction CNIL : Commission Nationale de l Informatique et des Libertés (http ://www.cnil.fr) ses missions : recenser les fichiers en enregistrant les demandes d avis et les déclarations, en tenant à jour et en mettant à disposition du public le fichier des fichiers contrôler en procédant à des vérifications sur place règlementer en établissant des normes simplifiées pour les traitements les plus courants et les moins dangereux garantir le droit d accès en exerçant le droit d accès indirect, en particulier au fichier des Renseignements Généraux instruire les plaintes informer les personnes de leurs droits et obligations, conseiller, proposer des mesures
Introduction Loi Informatique et des Libertés : droits et obligations Tout traitement automatisé d informations nominatives doit, avant sa mise en oeuvre, être déclaré ou soumis à la CNIL afin : de responsabiliser les utilisateurs de données nominatives de permettre à la CNIL de contrôler et d influencer les choix effectués règlementer en établissant des normes simplifiées pour les traitements les plus courants et les moins dangereux d assurer grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l exercice des droits des personnes concernées par les traitements
Introduction Nature des formalités exemple : un régime d avis pour le secteur public : les traitements publics sont crées par un acte règlementaire après avis motivé de la CNIL un régime déclaration pour le secteur privé un régime déclaration simplifié pour les traitements les plus courants, publics ou privés quel sera la finalité du fichier? quelles informations vont être enregistrées, pendant combien de temps? qui y aura accès? à quel service les personnes peuvent-elles s adresse pour exercer leur droit d accès?
Introduction DCSSI : Direction Centrale de la Sécurité des Systèmes d Information (http ://www.ssi.gouv.fr) dépend du premier ministre ses missions : évaluer les procédés de chiffrement, les produits et systèmes agréer les équipements, produits, utilisés pour le traitement des données classées défense procéder à l agrément des CESTI certifier les produits évalués par les CESTI instruire les demandes autour de la cryptologie élaborer et distribuer les clés de chiffrement pour le secteur public ou privé participer aux actions de normalisation
Introduction les CESTI : Centres d Evaluation de la Sécurité des Technologies d Information centres publics ou privés missions : évaluer évaluer de façon indépendante et suivant des r`gles de schémas fournis les produits en vue de la certification DCSSI proposer de l expertise
Introduction OCLCTIC : Office Central de Lutte Contre la Criminalité liée aux Technologies de l Information et de la Communication (http ://www.interieur.gouv.fr/police/oclctic) dépend de la Police Nationale double mission : opérationnelle réalisation d enquêtes judiciaires de haut niveau technique menées d initiative ou à la demande des magistrats assistance technique à l occasion d enquêtes menées par d autres Services (pédophilie, prostitution,trafic de stupéfiants, ) stratégique formation, animation et coordination de l action des autres services rṕressifs, compétents en matière d infractions liées aux technologies de l information et de la communication
Introduction ART : Autorité de Régulation des Télécommunication (http ://www.art-telecom.fr) liens entre l ART et l informatique vecteur de transport de l information réseaux métropolitains, inter-régionaux, inter-entreprises, fournisseurs indirects de télécommunication loi de règlementation des télécommunications du 26/07/96 établit une nouvelle répartition des missions de régulation au sein de l état avec la création d une autorité administrative autonome missions : favoriser l exercice au bénéfice des utilisateurs d une concurrence effective, loyale et durable veiller au développement de l emploi, de l innovation et de la compétitivité dans le secteur des télécommunications prendre en compte les intérêts des territoires et des utilisateurs dans l accès aux services etodile auxpapini équipements
Introduction les CERT : Computer Emergency Response Teams groupes au service d une communauté identifiée Renater (Reseau National Technologie Enseignement Recherche) missions : réagir efficacement et au plus vite sur les problèmes de sécurité compétence techniques pointues points de contact en cas de problème relations avec les autres organismes volonté de prévention
Introduction les CERT : Computer Emergency Response Teams 3 CERT en France CERT Renater (enseignement, recherche) http ://www.renater.fr/securite/cert Renater.htm CERT A (administration) http ://www.ssi.gouv.fr/rubriq/certa.htm CERT IST (Industrie, Services, Tertiaire) http ://www.ssi.gouv.fr/rubriq/certa.htm coordination europénne TF-CSIRT organisation mondiale des CERT : FIRST FIRST : Forum of Incident Response and Security Team http ://www.first.org/ les 3 CERT français sont intégrés dans le FIRST
matérielles : firewall proxy protocoles sécurisés, Les solutions (prochains cours) logicielles : politique de sécurité contrôle d accès anti-virus anti-spyware systèmes de détection d intrusion utilisation de la biométrie