L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009 www.certa.ssi.gouv.fr
Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur la défense et la sécurité nationale *** Volet Cyberdéfense
La stratégie de défense et de sécurité nationale Menaces Attentats terroristes Attaques informatiques Menace balistique Pandémie Catastrophes naturelles Criminalité organisée
Objectifs prioritaires une cyber défense active Mettre en place une capacité de cyber défense en profondeur comprenant une capacité de détection précoce des attaques une réaction rapide une protection intrinsèque des systèmes la surveillance en temps réel des réseaux les plus critiques
Objectifs prioritaires systèmes et produits sécurisés Promouvoir le développement et l utilisation des produits de sécurité Construire, mettre en place et opérer des systèmes d information de confiance au sein du gouvernement
Objectifs prioritaires infrastructures vitales Soutenir les opérateurs d infrastructures vitales dans l amélioration de leur niveau de sécurité Vérifier par des audits / inspections le niveau de protection
Objectifs prioritaires résilience et internet Internet est une infrastructure vitale L amélioration de la résilience des systèmes d information est une priorité majeure
L agence nationale de la sécurité des systèmes d information 7/7/2009 Décret n 2009-384
L ANSSI Agence nationale de la SSI Centre de formation (CFSSI) Communication Stratégie et Réglementation (SR) Systèmes d information sécurisés (SIS) Centre opérationnel (COSSI) Assistance, conseil et expertise (ACE) Relations internationales Réglementation Relations industrielles Centre de certification ISIS, RIMBAUD Autres projets Veille CERTA Coordination Plans & exercices Détection Inspections Crypto appliquée Assistance & conseil Architecture & réseaux Crypto & composants Sans fil
Le COSSI Centre Opérationnel de la SSI Coordination Centre de détection (Equipe projet) Bureau plans et exercices Bureau cryptologie appliquée Centre de veille (7/7 24/24) CERTA Bureau inspections en SSI Ministères Opérateurs
Le CERTA
L assistance opérationnelle : Le CERTA Rôle préventif Veille Fourniture de documents A priori Rôle curatif Analyse et intervention A posteriori Aide à la décision pour le RSSI La réponse technique à l incident
Un cas concret Fin mars, une administration française a subit une attaque massive de type DDoS Les services de Web, de messagerie, l accès Internet ont été fortement impactés CERTA, Le CERT gouvernemental Français, est intervenu sur ce dossier La Police française a aussi été impliquée, ce dossier ayant été judiciarisé
CERTA & Police : actions Le CERTA a été contacté tôt sur ce dossier Gestion de crise Signalement auprès de la Police Le trafic d attaque provient du monde entier Au moins 7000 bots impliqués Identification de systèmes infectés sur le territoire français
En résumé T0: Démarrage du déni de service distribué (DDoS) T0+6h: L opérateur internet met en place un filtrage IP Pas efficace, le DDoS paralyse toujours le site T+12h: Black holing du trafic Web Efficace, mais le DDoS atteint alors son objectif! La messagerie et les autres services sont restaurés T0+20h: Black holing sur les flux internationaux L accès «France» redevient opérationnel T0+24h: fin du DDoS
DDoS Hacker Master system zombies Victim
Outil de DDoS La Police a identifié des PC français impliqués dans le DDoS Dans les jours suivant, quelques PC ont été saisis en «flagrant délit» Le CERTA a été missionné pour réaliser l analyse «forensic» PC fortement multi-infectés VIRUT, un malware multifonction a été détecté sur plusieurs systèmes
Virut Comportement de type Virus (win 32) Infection massive des fichiers.exe sur le système Lancement au démarrage Client IRC basique Activité DDoS Téléchargement d un outil de DDOS dédié Adresse IP du serveur cible codée «en dur»
Fonctionnement d un Botnet (IRC) IRC C&C Command BotMaster Botnet Connexion Exploit Vulnerable User Bot download
Retour Ce dossier est encore en cours d analyse Points positifs Dossier «flagrant délit» Le CERTA est intervenu (contacté) très rapidement Points difficiles Virut est très bruyant, analyse complexe Les Attaque de type DDoS sont toujours complexes
Questions?