Les enjeux de la sécurité informatique

Documents pareils
Les enjeux de la sécurité informatique

Sécurité informatique: introduction

MYTHES ET LEGENDES DES SERVICES DE CLOUD COMPUTING

The Path to Optimized Security Management - is your Security connected?.

ISO/IEC Comparatif entre la version 2013 et la version 2005

Sécurité logicielle. École de technologie supérieure (ÉTS) MGR850 Automne 2012 Automne Yosr Jarraya. Chamseddine Talhi.

Introduction aux antivirus et présentation de ClamAV

Journée Mondiale de la Normalisation

Fiche Technique. Cisco Security Agent

Valorisez vos actifs logiciels avec Rational Asset Manager. Jean-Michel Athané, Certified IT Specialist IBM Rational Software

Sécurité des systèmes d exploitation

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

Les tendances, la sécurité, le BYOD et le ROI de la mobilité. July 12

Alliance Healthcare : automatiser pour mieux fluidifier les processus

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

2000 Ans pour la Démocratisation D

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

La Sécurité des Données en Environnement DataCenter

Thales Services, des systèmes d information plus sûrs, plus intelligents

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Rapport de certification

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Evolution des SI à l heure du Cloud

SHAREPOINT PORTAL SERVER 2013

Information Security Management Lifecycle of the supplier s relation

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Audits de sécurité, supervision en continu Renaud Deraison

NBS System et Zend Technologies Découvrez la scalabilité sans limite pour vos applications PHP grâce au Zend Cloud

APT / Cryptolockers. Pierre Poggi WatchGuard France pierre.poggi@watchguard.com

Rendez-vous la liberté avec Rational Quality Manager

Découvrir les vulnérabilités au sein des applications Web

Conditions de l'examen

Tutoriel sur Retina Network Security Scanner

Innovative BI with SAP Jean-Michel JURBERT D. de Marché BI, HANA, BIG DATA _ SAP France

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Technologies en rafale Un atelier de type GGT à la RN

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Menaces du Cyber Espace

Présenté par : Mlle A.DIB

TENDANCE BYOD ET SECURITE

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

Sécurité de l information dans les TIC : Travaux normatifs en cours ILNAS / ANEC

Accès & Sécurité. edouard.lorrain@citrix.com Business Development Manager

Notions de sécurités en informatique

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

HySIO : l infogérance hybride avec le cloud sécurisé

Rationalité et irrationalité dans le gestion des risques informatiques

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Gouvernance et nouvelles règles d organisation

Le Cloud Computing est-il l ennemi de la Sécurité?

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

Opportunités s de mutualisation ITIL et ISO 27001

La fédération d identité Contexte, normes, exemples

Formation. Mastère Spécialisé en Sécurité des Systèmes Intégrés & Applications. Post-master s degree in Security of Integrated Systems & Applications

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

La Cybersécurité du Smart Grid

Gestion du risque avec ISO/EIC17799

ARCHITECTURE ET SYSTÈMES D'EXPLOITATIONS

Déterminer les enjeux du Datacenter

GESTION DU CYCLE DE VIE. Albert Amar Avant-vente Middleware

LA PROTECTION DES DONNÉES

INCORPORER EXCEL EN LIGNE DANS UN FICHIER CRÉÉ AVEC L ÉDITEUR DE TEXTE 15 avril 2015

Le Cloud Computing L informatique de demain?

Formations Techniques : Infrastructures Janvier - Mars 2009

Poste virtuel. Installation du client CITRIX RECEIVER

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Guide pour la configuration d adresse

Rapport de certification

Conseils, inscription et accompagnement pour vos études en Australie

Sécurisation du site web de la FFT

SAP Extended ECM. Application Governance & Archiving for SharePoint. Marc WOLFF Associé fondateur Certified CDIA+

Progressons vers l internet de demain

SOLUTIONS TRITON DE WEBSENSE

Rapport de certification

Vers un nouveau modèle de sécurisation

AJAX. (Administrateur) (Dernière édition) Programme de formation. France, Belgique, Suisse, Roumanie - Canada

Sécurité sur le web : protégez vos données dans le cloud

WORKSHOP OBIEE 11g (version ) PRE-REQUIS:

Internet sans risque surfez tranquillement

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Connaître les Menaces d Insécurité du Système d Information

EXALOGIC ELASTIC CLOUD MANAGEMENT

SEMINAIRE DE L IFE. Un système de management environnemental basé sur ISO Presenté par Manoj Vaghjee

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Rapport de certification

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

N Cour Exam Thème Durée New Installing and Configuring Windows Server J New Administering Windows Server J

CATALOGUE DE FORMATIONS

SOPHOS - Endpoint Security and Control.doc

Par KENFACK Patrick MIF30 19 Mai 2009

Guide d installation de SugarCRM Open Source version 4.5.1

Transcription:

MGR850 Hiver 2014 Les enjeux de la sécurité informatique Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1

Plan Motivations & contexte Quelques définitions Vulnérabilités porte d entrée Objectifs de la sécurité Analyse de risques Contre-mesures: traditionnelle vs. holistique Conclusion MGR850 -É14 2

Motivations & Contexte Source http://www.symantec.com/about/news/release/article.jsp?prid=20090910_01 http://www.youtube.com/watch?v=fiv4w3hghky MGR850 - É14 3

Motivations & Contexte Source http://www.techcentral.ie/19456/cybercrime-booms-as-sophistication-rises 4

Motivations & Contexte 5

Motivations & Contexte Source http://articles.latimes.com/2012/jul/25/business/la-fi-olympics-cybersecurity-20120726 6

Motivations & Contexte Source : http://www.zdnet.com/obama-cyber-attack-serious-threat-to-economy-national-security-7000001324/ 7

Motivations & Contexte Source : http://spectrum.ieee.org/computing/networks/declarations-of-cyberwar/ 8

Motivations & Contexte Source : http://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.html http://www.techgeekandmore.com/category/solutions/ 9

Esprits criminels C est une question de préparation http://www.youtube.com/watch?v=9h07hxl_ifq &feature=related http://www.youtube.com/watch?v=ec96jdany Wo&feature=related Voitures de demain https://www.youtube.com/watch?v=oqe6s6m73 Zw http://www.youtube.com/watch?v=uft7fb-g0ji MGR850 - É14 10

Motivations & Contexte Motifs des attaques Traditionnellement, Prouver ses compétences techniques Représailles envers un ancien employeur Nouveaux motifs $$$$ Extorsion (déni de service vers un site populaire) $$$$ Vol (carte de crédit, identité) $$$$ Vol sur une grande échelle (transactions bancaires) $$$$ Distribution de la publicité (SPAM) Atteinte à la réputation Sécurité nationale (marquer un point sur le plan politique, vol de secrets militaires, cyberguerre, ) Moyen de protestation afin de promouvoir des fins politiques (Hacktivism). 11

Qu est ce que la sécurité informatique? Sécurité informatique consiste à protéger Les renseignements Les actifs Contre un large éventail de menaces Pour Assurer la continuité des activités, Minimiser les risques d'affaires Maximiser le retour sur investissement et les occasions d'affaires. Adapté de Norme ISO 17799:2005. 12

Qu est-ce que les actifs informationnels? Les actifs informationnels représentent l ensemble des données et des systèmes d information nécessaires au bon déroulement d une entreprise. Base de données clients Vente et Marketing Base de données employés Ressources humaines Portail web Vente directe ou indirecte Code source d une application Équipe de développement Base de données usagers Équipe des TI 13

Vulnérabilité Vulnérabilités Faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une menace (source ISO 27000 ) NIST National Vulnerability Database (http://nvd.nist.gov/) CVE (http://cve.mitre.org/) : 53962 vulnérabilités (8 janvier 2013) de type défauts logiciels. C est autant de possibilités pour des attaques 14

MGR850 H14 Vulnérabilités L'annonce d une vulnérabilité est généralement suivie d'une période de temps avant qu'un correctif ne soit disponible. C'est la période du jour zéro. Attaque jour zéro (Zero-day) Exploite une vulnérabilité annoncée publiquement mais dont le correctif n existe pas encore Le danger est plus grand lorsqu une attaque ou un exploit qui cible la vulnérabilité existe dans la nature. Course contre la montre pour détecter et corriger les vulnérabilités avant qu elles soient exploitées malintentionnellement http://www.zerodayinitiative.com/about/benefits/ 15

Vulnérabilités Source: http://www.isaca.org/journal/past-issues/2007/volume-2/pages/jonline-less-than-zero-vs-zero-day-an-approach-to- Vulnerabilities-Exploits-Patches-and-Security.aspx MGR850 H14 16

Trojan-Downloader: OSX/Flashback.I Trojan-Downloader: OSX/Flashback.I Category: Malware Type: Trojan-Downloader Platform: OSX (MAC) Navigateur web: Safari Mode opératoire Véhiculé par des applets Java malveillantes qui exploitent la vulnérabilité CVE-2011-3544. Une fois en place, récupère un code depuis un serveur distant et l injecte dans Safari. Après cela, il peut modifier certaines pages web consultées par l utilisateur. 17

Applet vulnerable téléchargé Trojan-Downloader: OSX/Flashback.I Machine MAC OSX Victime Exploit CVE-2011-3544 Site web compromis Site web malicieux http: / /95.215.63.38/ Autosuppression du malware si certaines applications sont sur la machine de la victime SINON Installation hardware_uuid Machine type Kernel Version Hardware type Logged User status http: / /95.215.63.38/counter / %% encoded_data Binary1, binary2, png Téléchargement 18

Trojan-Downloader: OSX/Flashback.I Machine MAC OSX Victime Site web malicieux http: / /95.215.63.38/ Stockage local de fichier png 1 er cas: Utilisateur saisi le mot de passe Création de 2 fichiers Insertion de point d execution dans Safari succès h t t p ://95.215.63.38/stat_d/ échec h t t p ://95.215.63.38/stat_n/ Infection 19

Trojan-Downloader: OSX/Flashback.I Machine MAC OSX Victime Site web malicieux http: / /95.215.63.38/ Stockage local de fichier png 2 eme cas : Pas de mot de passe Autosuppression du malware si certaines applications sont sur la machine de la victime SINON Création de 2 fichiers Insertion de point d execution dans toute application de l utilisateur succès h t t p ://95.215.63.38/stat_u/ Infection 20

Trojan-Downloader: OSX/Flashback.I Phase d installation Le malware se supprime si l un des chemins d'accès suivants existe dans le système: / Bibliothèque / Little Snitch / Developer / Applications / Xcode.app / Contents / MacOS / Xcode / Applications / VirusBarrier X6.app / Applications / iantivirus / iantivirus.app / Applications / avast!. App / Applications / ClamXav.app / Applications / HTTPScoop.app / Applications / paquet Peeper.app Phase de téléchargement Le malware se connecte à l'url d un site web malicieux, envoie certaines données concernant la machine à infecter hardware_uuid, machine_architecture, kernel_version, architecture_of_malware_process, current_hardware_type_of_system, is_user_daemon et le hachage MD5 de hardware_uuid 21

MGR850 H14 Trojan-Downloader: OSX/Flashback.I La réponse est compressée et chiffrée Binary 1 :composant principal du malware. Binary 2 : filtre qui va charger Binary 1 seulement dans un processus ciblé pour éviter des problèmes d incompatibilité et d éveiller les soupçons de l'utilisateur. Phase d infection Affiche une boite de dialogue pour demander le mot de passe L icone encadré en rouge est une image PNG téléchargée à partir du serveur distant et qui sera stockée dans la machine victime. 22

Trojan-Downloader: OSX/Flashback.I Source: http://oliviermougin.free.fr/wordb/?p=180 Le risque zéro en matière de sécurité n existe pas, même pour MAC. 25

Trojan-Downloader: OSX/Flashback.I Pour plus de details sur ce malware: http://oliviermougin.free.fr/wordb/?p=180 http://www.f-secure.com/v-descs/trojandownloader_osx_flashback_i.shtml http://www.macgeneration.com/news/voir/239762/mal ware-flashback-evolue-a-nouveau 26

Le trio du CID: Objectifs de la sécurité Les propriétés Confidentialité Intégrité Disponibilité En anglais: CIA (Confidentiality, Integrity and Availability) 27

Objectifs de la sécurité Confidentialité Propriété d une donnée dont la diffusion doit être limitée aux seules personnes ou entités autorisées. Menaces Surveillance du réseau Vol de fichiers Fichiers de mots de passe Fichiers de données Espionnage Ingénierie sociale Contre-mesures Cryptographie Chiffrement Contrôle d accès Mot de passe à usage unique Biométrie Classification des actifs Formation du personnel 28

Objectifs de la sécurité Intégrité Propriété d une donnée dont la valeur est conforme à celle définie par son propriétaire. Menaces Attaques malicieuses Virus Bombes logiques Portes dérobées Erreurs humaines Contre-mesures Cryptographie Authentification, signature Contrôle d accès Mot de passe à usage unique Biométrie Système de détection d intrusion Formation du personnel Si cette propriété n est pas respectée pour certains actifs, cela peut avoir des impacts sur la confidentialité d autres actifs. 29

Objectifs de la sécurité Disponibilité Propriété d'un système informatique capable d'assurer ses fonctions sans interruption, délai ou dégradation, au moment même où la sollicitation en est faite. Menaces Attaques malicieuses Dénis-de-service Inondation Vulnérabilités logicielles Attaques accidentelles Flashcrowd Slashdot effect Pannes Environnemental, logiciel, matériel Contre-mesures Pare-feu Système de détection d intrusion Formation du personnel 30

Analyse de risques Définir les besoins. Les actifs à protéger et leurs propriétaires. leurs valeurs? leurs criticités? leurs propriétés? Les menaces représentant des risques. les attaquants? leurs moyens? leurs motivations? Les objectifs à atteindre. Quelles sont les propriétés des actifs à protéger? Proposer une solution. Les contre-mesures à mettre en place. Évaluer les risques résiduels. Quelles sont les vulnérabilités toujours présentes. Leurs impacts sur les objectifs initiaux. 31

Analyse de risques Schématiquement Propriétaires désirant minimiser demandant Contre-mesures tenant à réduisant Risques à augmentant Attaquants représentant Menaces à Actifs désirant accéder à Adapté de ISO/IEC 15408 Common Criteria. 32

Analyse de risques Une vieille histoire Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats que par tes défaites. Sun Tzu, approx. 4 ième siècle av. JC 33

Contre-mesures Approche traditionnelle Se basant sur le fait que les systèmes informatiques sont intrinsèquement vulnérables, Les responsables des TI doivent mettre en place les moyens de résister aux diverses menaces afin de protéger les actifs de leurs entreprises. Approche holistique Attaquer le problème à la source en sécurisant les logiciels 34

Approche traditionnelle Les objectifs techniques de la sécurité Déployer une infrastructure adéquate résistant aux attaques et assurant l intégralité des actifs (et leurs propriétés). Prévention Contrôle d accès Mise-à-jour des logiciels Pare-feu, systèmes de prévention d intrusion (SPI) Détection Antivirus Systèmes de détection d intrusion (SDI) Audit Réaction Pare-feu Veille technologique à la recherche des vulnérabilités. CERT, NIST, Virus Bulletin, Microsoft, Bugtraq 35

Approche traditionnelle et les façons de les atteindre! Protéger le périmètre du réseau. Pare-feu, SDI, SPI Protéger les serveurs publics. Logiciels mis-à-jour régulièrement Zones démilitarisées (DMZ) Partitionner le réseau interne. Contrôle d accès, pare-feu, SDI, SPI Protéger les serveurs internes et les usagers. Logiciels mis-à-jour régulièrement Antivirus 36

Approche traditionnelle Mais l enjeu est plus général! Il ne faut pas mélanger les besoins et les moyens utilisés pour répondre à ces besoins. Quels sont les acteurs? Quels sont les actifs? Quels sont les objectifs? Quelles sont les règles de gestion à mettre en place? Quels sont les moyens opérationnels à mettre en place? 37

Approche traditionnelle Politiques de sécurité Les politiques de sécurité sont des énoncés généraux dictés par les cadres supérieurs décrivant le rôle de la sécurité au sein de l entreprise afin d assurer les objectifs d affaire. Pour mettre en œuvre ces politiques, une organisation doit être mise en place. Définition des rôles, des responsabilités et des imputabilités L analyse de risque est à la base de cette activité 38

Approche traditionnelle L information est disponible même trop! NIST Département du commerce, É.-U. SP 800-100 Information Security Handbook: A Guide for Managers SP 800-97 Draft, Guide to IEEE 802.11i: Robust Security Networks SP 800-94 Draft, Guide to Intrusion Detection and Prevention (IDP) Systems SP 800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals SP 800-41 Guidelines on Firewalls and Firewall Policy ISO ISO/IEC 17799:2005(E) Code of Practice for Information Security Management. ISO/IEC 21287:2002 System Security Engineering Capability Maturity Model. US-CERT Software Engineering Institute Defense in Depth: Foundations for Secure and Resilient IT Enterprises Advanced Information Assurance Handbook Amazon.ca 26 111 livres sont proposés en utilisant les mots clé: Information Security (9 janvier 2012). Google.ca Ce que vous cherchez s y trouve. Bonne chance! 39

Approche traditionnelle Mais le problème demeure L industrie de la sécurité En 2010, le chiffre d affaire du marché mondial de la sécurité du réseau était estimé a 7,54 milliards de dollars, Firme d analystes IDC Constat L approche traditionnelle sécurisant le périmètre du réseau ne semble pas adéquate puisque nous avons toujours les mêmes problèmes. D octobre 2011 à février 2012, plus de 50.000 cyber-attaques sur les réseaux privés et publics ont été signalés au U.S. Department of Homeland Security, avec 86 de ces attaques ayant lieu sur les réseaux d'infrastructures essentielles. Raison La qualité des logiciels. 40

Approche holistique La sécurité des logiciels est donc critique! 50 % des vulnérabilités proviennent des erreurs de conception. 50 % des vulnérabilités proviennent des erreurs d implémentation. Dépassement de mémoire et d entier Concurrence critique Microsoft s Trustworthy Computing Initiative Mémo de Bill Gates en janvier 2002 présente la nouvelle approche de Microsoft de développer des logiciels sécurisés. Microsoft aurait dépensé plus de 300 millions USD. The Trusthworthy Computing Security Development Lifecycle. 41

Approche holistique Sécurité du logiciel Robustesse Gestion du risque Actifs, menaces, objectifs, Cycle de développement du logiciel Construire un logiciel robuste face aux attaques Bases de connaissance Rassemblement, l'encapsulation et le partage des connaissances de sécurité qui peut être utilisé pour fournir une base solide pour les pratiques de sécurité des logiciels 42

Approche holistique Cycle de développement du logiciel Risk analysis Abuse cases Security req. Risk analysis Risk-based security tests Code review (Tools) Risk analysis Penetration testing Penetration testing Security operations Specification Use Cases Architecture Design Test Plans Code Tests Test Results Feedback Deployment Adapté de Software Security by McGraw Intégration d activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d efficacité subjectif) Code review, Risk analysis, Penetration testing, Security tests, Abuse cases, Security requirements, Security operations MGR850 H14 43

Conclusion Connaissez-vous vous-même. Déterminer les actifs qui doivent être protégés et leurs propriétés. Déterminer les objectifs à atteindre. Connaissez vos ennemis. Déterminer les menaces contre lesquelles ils doivent être protégés. Reposez-vous sur les épaules de géants. Veille technologique, base de connaissances. Principes, guides et règles connues. Ne jamais dire: ceci est impossible, ils ne peuvent faire cela. Jean-Marc Robert, ÉTS MGR850 - É14 44

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back