Colloque Annuel des Hauts Cadres de Contrôle Administratif et Financier

Documents pareils
Présenté par : Mlle A.DIB

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

La sécurité des systèmes d information

AUDIT CONSEIL CERT FORMATION

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

FORMATION PROFESSIONNELLE AU HACKING

Symantec MessageLabs Web Security.cloud

La sécurité informatique

Menaces du Cyber Espace

Les conseils & les astuces de RSA Pour être tranquille sur Internet

NETTOYER ET SECURISER SON PC

Progressons vers l internet de demain

Logiciels Libres de sécurité informatique et Stratégie Nationale en matière de sécurisation des SI

Protection des données et Vie privée

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Sécurité des Postes Clients

Stratégie nationale en matière de cyber sécurité

SECURIDAY 2013 Cyber War

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Indicateur et tableau de bord

Club des Responsables d Infrastructures et de la Production

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Internet sans risque surfez tranquillement

Les menaces informatiques

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

A. Sécuriser les informations sensibles contre la disparition

Management de la sécurité des technologies de l information

NETTOYER ET SECURISER SON PC

Dr.Web Les Fonctionnalités

Trusteer Pour la prévention de la fraude bancaire en ligne

La protection des systèmes Mac et Linux : un besoin réel?

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Fiche Technique. Cisco Security Agent

Notions de sécurités en informatique

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

Pourquoi choisir ESET Business Solutions?

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

Les menaces sur internet, comment les reconnait-on? Sommaire

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Sécuriser les achats en ligne par Carte d achat

Protection pour site web Sucuri d HostPapa

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

spam & phishing : comment les éviter?

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Gestion des Incidents SSI

Sécurité informatique

Introduction aux antivirus et présentation de ClamAV

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Sécurité. Tendance technologique

Installation et mise en sécurité des postes de travail Windows

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Détection d'intrusions et analyse forensique

Netdays Comprendre et prévenir les risques liés aux codes malicieux

Solutions de sécurité des données Websense. Sécurité des données

Coupez la ligne des courriels hameçons

Surveillance de réseau : un élément indispensable de la sécurité informatique

Tout sur la cybersécurité, la cyberdéfense,

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

politique de la France en matière de cybersécurité

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Guide de démarrage rapide

Principes de la sécurité informatique

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Dossier sécurité informatique Lutter contre les virus

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Welcome. Bienvenue. Willkommen. welkom. yôkoso. Benvenuto. Bienvenida. tervetuloa

L authentification de NTX Research au service des Banques

Menaces et sécurité préventive

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Les botnets: Le côté obscur de l'informatique dans le cloud

Gestion du risque numérique

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security

Bilan 2008 du Cert-IST sur les failles et attaques

Glossaire. Acces Denied

Symantec Endpoint Protection Fiche technique

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Etat de l art des malwares

Constat. Nicole DAUSQUE, CNRS/UREC

RSA ADAPTIVE AUTHENTICATION

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

escan Entreprise Edititon Specialist Computer Distribution

CHARTE WIFI ET INTERNET

Gestion des incidents de sécurité. Une approche MSSP

Aspects juridiques des tests d'intrusion

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Transcription:

Colloque Annuel des Hauts Cadres de Contrôle Administratif et Financier Quel rôle pour la fonction de contrôle dans le renforcement de l administration électronique, 7 Décembre 2006, Parc technologique El Ghazala 1

Sécurité Informatique : stratégie, actions pour une e-administration sécurisée et maitrisée Plan I- Présentation des Grands axes de la stratégie Nationale dans le domaine de la sécurité des Systèmes d Information, comme mesure d accompagnement d une administration électronique sécurisée et immuable II- Présentation des principales actions du plan tunisien en matière de sécurisation des Systèmes d Information - Atouts d une e-adminsitration fiable : Un employé et un citoyen conscients des risques Et des Bonnes pratiques : aperçu sur les actions de sensibilisation. - Se doter d une logistique appropriée pour permettre la confiance dans l e-administration (et l e-société ) : Prévenir les catastrophes et «réagir &Guérir» en cas d attaques : aperçu sur les actions d Information et d Assistance pour la gestion des incidents et sur l établissement d un centre d observation et d alerte (ISAC Saher ). - aperçu sur les actions de Renforcement des compétences Nationales pour une e-administration Évoluée et Maitrisée ( Formation et éducation) -aperçu sur le rôle assigné au tissu associatif - Aperçu sur l importance de l open-source dans la stratégie nationale, en matière de sécurité informatique Annexe : Aperçu sur le phénomène d intrusion, ses origines, formes et dégâts observés à l échelle Internationale Prof Nabil SAHLI, Directeur Général de l Agence Nationale de la Sécurité Informatique, Chargé de Mission, auprès du Ministre des Technologies de la Communication E-mail : n.sahli@ansi.tn Quel rôle pour la fonction de contrôle, dans le renforcement de l administration électronique2 7 Décembre 2006

Partie II Stratégie Tunisienne en matière de sécurité des SI, comme mesure d accompagnement d une administration électronique sécurisée et immuable 3

Bref apercu historique fin 1999 : Lancement d une unité, spécialisée dans la sécurité des SI (Secrétariat d état à l informatique) : Objectif : - sensibiliser les directeurs et le personnel technique, - veiller à la sécurité des applications et infrastructures nationales hautement critiques, - suivre de près les derniers développements technologiques en matière de sécurité informatique. À partir de fin 2002 ( certification du rôle de la sécurité des SI comme pilier de la «Société d Information») : en charge de mettre en place une stratégie et un plan national dans le domaine de la sécurité des SI (enquête nationale, pour définir : priorités, volume des actions, logistique nécessaire, supports,...). -Janvier 2003 : CMR, sous la présidence du Président Zine El Abidine BEN ALI, dédié à l informatique et à la sécurité des SI, a décidé : La Création d une Agence Nationale, spécialisée dans la sécurité des SI (L outil pour l exécution de la stratégie et du plan national) L Introduction de l audit obligatoire et périodique dans le domaine de la sécurité informatique. (Pilier de notre stratégie) La Création d un corps d auditeurs certifiés + Plusieurs autres mesures d accompagnement 4

2004 : Février : Promulgation d une LOI originale sur la sécurité des SI (Loi N 5-2004, Fév 2004 et ses 3 décrets associés) : Obligation de l audit périodique (annuel actuellement), pour Toutes les entités publiques et les grandes et sensibles sociétés privées. Organisation du domaine de l audit de sécurité (Audits effectués UNIQUEMENT par des auditeurs CERTIFIES TUNISIENS, définition du processus de certification des auditeurs & définition des missions d'audit et du processus de suivi) Création et définition des Missions de l Agence Nationale de la Sécurité Informatique Obligation de déclarer les incidents de sécurité qui peuvent affecter d autres SI (attaques Virales et piratages de masses,...), avec une garantie de confidentialité, par la loi. Lancement des activités de l Agence Nationale de la Sécurité Informatique 2005 : Septembre 2005 : Installation de l Agence Nationale de la Sécurité Informatique dans ses locaux et renforcement de son potentiel humain. & Lancement, à grande échelle du Cert-TCC 5

Lignes Directrices de la Stratégie Tunisienne en Sécurité Informatique 1- Lancement d une entité (UNITÉ Agence,...) spécialisée en Sécurité Informatique en charge de définir et implémenter un plan national en sécurité informatique (+ une enquête Nationale) 6

Elever le niveau de Sécurité de nos Systèmes d Information Nationaux (cœur de l e-administration) Permettre une «ouverture» sécurisée et une forte intégration entre les systèmes d information nationaux pour mieux ancrer correctement l e-administration (et les e-services) Instruire des règles pour assurer une amélioration sécurisée et progressive de la sécurité de SI et le suivi pour des plans de sécurité réalistes et efficaces. Institution de l audit périodique obligatoire Fournir l assistance technique pour garantir la correcte protection des SI et infrastructures critiques. Renforcer le rôle joué par le secteur privé et l aider à se développer (fournir des Marchés, formations, aide à la certification, concurrence loyale,..) Identifier & Regrouper les Investissements «Lourds» et les engager (infrastructures de Continuité de fonctionnement en cas de désastre, ISAC,..) Renforcement du rôle joué par le tissu Associatif (participation de toutes les forces vives de la Nation, actions de sensibilisation, évaluation des actions complémentaires requises, ) 7

Consolider la Sécurité du Cyber-espace National Permettre une utilisation confiante des TICs et d Internet («e-citoyen» ) - Fournir l assistance et le support nécessaires dans le domaine de la sécurité informatique (équipes d intervention CSIRST) - Développer des : - Mécanismes pour la détection précoce d attaques (système «saher»), - Plans de Réaction efficaces (plan de réaction «Amen») - Implémenter des outils efficace pour la coordination entre les différents concernés, en cas d attaques cybernétiques. 8

Consolider le Savoir-faire en sécurité informatique Atteindre une «relative» autonomie technologique (Société de l Information e-nation) - Encourager le développement de Solutions et d outils Nationaux, liés aux besoins stratégiques «Lourds». - Faire évoluer les capacités nationales en R&D et les rendre plus responsives à nos besoins urgents. - Encourager la recherche de base (Université) portant sur les importants thèmes (cryptographie, méthodologies, mécanismes) - Motiver l émergence d associations Académiques dans le domaine de la sécurité informatique - Assurer un «Suivi Technologique» efficace dans le domaine. 9

Renforcer la Formation & Sensibilisation (sécurité des SI = le facteur humain à 75 %) - Renforcer le potentiel de formateurs en sécurité informatique - Lancer des diplômes universitaires spécialisés dans le domaine de la sécurité informatique (Mastères, spécialité). - Introduction de formation de base (sensibilisation) dans TOUS les cursus académiques et scolaires. - Encourager la certification (Internationale) de haut niveau des professionnels dans le domaine. - Promouvoir des activités de sensibilisation sur les dangers potentiels et les meilleures pratiques de protection : Lancement d un CERT national, en charge, entre autres, de l intensification des opérations de sensibilisation, à l échelle de TOUTES les régions. Motiver la création d Associations, œuvrant dans ce domaine. 10

Assurer la «Mise à jour» du cadre juridique et réglementaire - Adopter/Adapter des normes, réglementation et procédures de certification dans le domaine de la sécurité des Systèmes d information et harmoniser la tâche des régulateurs publics. - Œuvrer pour le renforcement des mécanismes de contrôle des abus (protection du consommateur, contrôle du Spam, respect de la protection des données à caractère personnel,respect de la propriété Intellectuelle ) - Renforcer la compétence des autorités judiciaires et policières, traitant des affaires de cybercriminalité (formation) Assurer la mise à jour continuelle des lois, selon les nouveaux problématiques introduites par la cybercriminalité Et renforcer l adhésion et l application des conventions et traités internationaux (Crimes Cybernétiques, ). 11

Instruments de la stratégie Nationale Promulgation de la loi N 5-2004, relative à la sécurité Informatique Lancement d une Agence Nationale de la Sécurité Informatique (A.N.S.I) Lancement d un CERT ( Centre de Réponse aux Urgences Informatiques ) Le Cert /TCC (Computer Emergency Response Team / Tunisian Coordination Center En plus de l existant (depuis 2000): Réglementation (reconnaissance/sécurisation) des échanges électroniques Création de l Agence Nationale de Certification Electronique (ANCE) 12

Missions de l Agence Nationale de la Sécurité Informatique (A.N.S.I) (Relativement à la loi N 5-2004) Veiller à l'exécution des orientations nationales et de la stratégie générale en matière de sécurité des systèmes informatiques et des réseaux, - suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public, à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine. - œuvrer à encourager les solutions nationales dans le domaine de la sécurité informatique et à les promouvoir, conformément aux priorités et aux programmes qui seront fixés par l'agence, - participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique, -veiller à l'exécution des réglementations relatives à l'obligation de l'audit périodique de la sécurité des système informatiques et des réseaux. - établir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication, - assurer la veille technologique dans le domaine de la sécurité informatique, 13

Cert /TCC (Computer Emergency Response Team / Tunisian Coordination Center L équipe de Réponse aux Urgences Informatiques Centre de Coordination Tunisien Missions Fournir aux utilisateurs des TIC, une assistance technique en ligne (call-center, ligne verte, e- mail) ; Fournir une assistance pour la gestion d incidents (24H/24 et 7j/7) ; Agir comme moteur de sensibilisation; Collecter, développer et diffuser des guides et informations relatives au domaine de la sécurité des SI; Organiser des cycles de formation de haut niveau (formateurs, ); Essayer d'être un centre de synergie entre les professionnels, les chercheurs et les praticiens. Lancé par l Agence Nationale de la Sécurité Informatique Plusieurs activités seront déléguées au secteur privé, dés maturation «économique» 14

Partie II Présentation des Principales Actions du PLAN National dans le domaine de la sécurité des SI 15

Atouts d une e-adminsitration fiable : Un employé et un citoyen conscients des risques et des Bonnes pratiques La sécurité = 75 % le facteur humain 16

La sécurité est avant tout : Le Facteur Humain 75% = Conscience du personnel, organisation et Savoir-Faire (Les outils :: Uniquement 25 % ) 1- Sensibilisation des décideurs -Immense pas franchi en Tunisie pour sensibiliser les Décideurs : Premier pays au Monde à Instituer l Audit périodique Obligatoire (loi sur la sécurité Informatique N 5-2004). 2- Sensibilisation des Utilisateurs La conscience du Personnel est le meilleur ATOUT DE SUCCES d une action de sécurisation «La sécurité est l affaire de TOUS» (pas de méthode miracle mais des principes de bon sens) Développer une culture de la sécurité Mis à part les actions de sensibilisations entreprises localement : Selon le cahier de charges modèle (de l ANSI) : Les opérations d audit doivent être précédés par des sessions de sensibilisation du personnel 17

Le Cert-TCC a intensivement œuvré dans le domaine de la sensibilisation : Développement et distribution de brochures (9) et de CDs (3: outils de sécurité gratuitement pour usage domestique, outils open-source, patchs volumineux) Intervention dans les principales Conférences & Ateliers de Travail ( 25 en 2006) et Participation à toutes les foires Nationales et Régionales (avec ateliers de simulation d attaques réelles montrer la réalité des risques encourus) + Sensibilisation via la mailing-list de sécurité (.Flash /.Outils), - Le citoyen : Les médias jouent un Rôle Important et moteur dans la sensibilisation : Participation dans l animation de rubriques hebdomadaires dans 6 radios Régionales et Nationales : «Echabab», Le Kef, Sfax, Tataouine, Monastir, Sousse. Création d un poste de relations avec la presse (une journaliste ), afin de fournir la matière brute nécessaire aux journalistes ( motiver des articles ) - Préparation d un module de sensibilisation dans le domaine de la sécurité des SI, pour des Journalistes. 18

Et préparer le E- Citoyen de demain : Parents & Enfants : Les sensibiliser, sans les effrayer, à propos des risques sur Internet (risques de pédophilie, virus, ) - Agir pour l éducation des jeunes générations : Développement de matière didactique pour les enfants et les parents : Bande Dessinée, Guide/Quizs, rubrique web spécialisée Préparation d un module de ensibilisation pour les jeunes ; -Développement de brochures et ajout d une rubrique spéciale pour les parents dans la Mailing-List (Outils de Contrôle Parental, risques, ). - Interventions dans les cours de préparation des enseignants de l enseignement secondaire et initiation d une Collaboration avec des éducateurs (Centres et associations spécialisées dans l enfance). 19

Se doter d une logistique appropriée pour permettre la confiance dans l e-administration (et l e-société ) : «Prévenir» les catastrophes «Réagir et Guérir» en cas d incidents 20

«Prévenir» : Elever le niveau de sécurité des SI, selon une approche Méthodique et pragmatique Institution de l audit de sécurité obligatoire des SI Loi 5-2004 (Chapitre II) -Les systèmes informatiques et les réseaux relevant des divers organismes publics sont soumis à un régime d audit obligatoire et périodique (actuellement annuel, selon le décret 1250-2004). - Sont également soumis à l audit obligatoire annuel, les organismes privés dont la liste est fixée par le décret 1250-2004 (FSIs, Opérateurs Telecom, sites manipulant des informations personnelles du citoyen, grandes entreprises : entreprises multi-sites, dont les réseaux sont interconnectés par des réseaux de télecommunication publics). 21

«Prévenir» : Information&Veille continue sur les dangers 22

Information en «temps réel» sur les vulnérabilités et activités malicieuses observées : Diffusion des informations (Collectées à travers la surveillance de multiple sources ) à travers une Mailing-List : Pus de 6 750 abonnés Volontaires 217 e-mails envoyés en 2006 (plus de 600 vulnérabilités déclarées) Rubriques Variées : Menace :.Faille.Virus.Spam.Hoax.Précaution.Administrateur.Alerte Information :.Outils.Open-source.Annonce.Livre.VIRUS Objet :.. Systèmes et Plates-formes concernés : Effets Signes Visibles Moyen de propagation Propagation à l échelle Nationale Propagation à l échelle Internationale Plus de détails (urls) Mesures Préventives 1- vulnérabilité critique dans.., qui permet 2- vulnérabilité moyennement critique dans.., qui permet 3-.. 1- Nom du Produit Plates-formes Concernées : Versions Concernées : Brève Description :... Pour plus de détails : (urls) SOLUTION.. 2- Nom du Produit. Faille (simples utilisateurs). Administrateurs (Professionnels en Sécurité) + Travail en cours : Publication des Meilleures Pratiques et solutions de sécurité open-source & Newsletter mensuelle. 23

«Prévenir» : Alerte précoce Centre d observation et d alerte : Projet Saher 24

Système Saher Un centre d Observation (basé sur des solutions open-source), qui permet de superviser la sécurité du cyber-espace national en Temps Réel Détection précoce des attaques de masse et évaluation de leur impact. (premier prototype, déployé pendant le SMSI) N.IDS ( Snort) Réseaux Connexions Sécurisées (SSh) IDCs «Saher» HoneyPots, HoneyNet Analyse & Corrélation - Outil WebObserver -Déclenchement de -contrôle de flux Collecte & Pré-Traitement ISPs Serveur Anti-virus Mail (script) rapports Rapports d incidents (Call-Center, Fax, Site Web) Déclenchement automatique d alertes - Scripts pour la corrélation de logs. - Outils pour le contrôle & l analyse de flux. - Outils de logs. - Scripts de "Pot de Miel" (Smart Honey- Poting) - Technique proactive & contre-mesures. Collecte et filtrage des logs pour identifier les attaques de masse et les activités potentiellement malicieuses (vers, scans, ) Future version distribuée : Saher-CNI (Réseau Inter-administratif)

«Réagir et Guérir» : Assistance, en cas d incidents 26

Plan de Réaction «AMEN» +/- Alerte Communité Alerte Amen : Plan de Gestion d alertes --- Plan de Réaction Global "Formel". --- Établissement de coordination entre cellules de crise (FSIs, IDCs, Fournisseurs d Accès). Avec l ANSI, agissant comme centre de coordination entre les cellules. Amen a été déployé 5 fois, pendant les attaques de vers Sasser& MyDoom, pendant des activités de piratage suspectes et, pro-activement, pendant les grands événements organisés en Tunisie (uniquement avec les FSIs et l opérateur national de télécommunication) 27

Loi No. 2004-5 du 3 février 2004 relative à la sécurité des SI Assistance pour la Gestion des Incidents CSIRT Équipe CSIRT (Computer Security Incident Response Team) Article 10 : Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit informer Article 10 immédiatement l'agence nationale de la sécurité de toutes les attaques, intrusions et autres perturbations susceptibles d entraver le fonctionnement d un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. L exploitant est tenu de se conformer aux mesures arrêtées par l agence nationale de la sécurité informatique pour mettre fin à ces perturbations. o Une équipe CSIRT en charge d l Assistance dans la gestion des Incidents (sur terrain) Article 9 -II est o Un centre d appel (Hotline), disponible pour assistance 24heures/24 et 7jours/7 interditaux agents de l'agence nationale la sécurité informatique et auxexperts chargés des opérations d'audit de divulguertoutes Sont ces informations. passibles des sanctions informationsdont prévues à ils l'article ont eu 254 connaissance du lors de l exercice de leurs missions. code pénal,, quiconque divulgue, participe ou incite à 1a divulgation de Loi No. 2004-5 du 3 février 2004 relative à la sécurité des SI Les organisations privées et publiques devraient nous faire confiance et demander l assistance, sans «peur» pour une éventuelle «mauvaise publicité» Motivation pour l émergence de CSIRTs dans les domaines stratégiques dont l eadministration 28

Infrastructures de continuité de fonctionnement, En cas de catastrophes (destruction des centres d exploitation, ) Projet de Centre National de continuité de fonctionnement, en cas de sinistre grave, réalisé par le Centre National de l Informatique, sous un prêt de la Banque Mondiale) Fonds pour études : L établissement de Plans de continuité de fonctionnement pour certaines applications nationales critiques. Amélioration de la protection du Cyber-espace national contre les attaques de type DDOS. 29

Renforcer les compétences Nationales pour une e-administration Maitrisée et sécurisée Formation & Éducation 30

Formation Professionnelle Objectif : Constituer un noyau de Formateurs en sécurité informatique. Initiation de cours de formation de formateurs (privés + publics) - 3 premiers cours réalisés (pour 35 formateurs chacun, sous un prêt de la Banque Mondiale) : - Sécurité des réseaux - Sécurité des plate-formes et systèmes - Méthodologies d audit de sécurité ( ISO 1 7799,ISO 27 001) et développement de plans de sécurité. + Préparation de 4 nouveaux modules de formation de formateurs (debut 2007) Mise à niveau de professionnels : - organisation de formations (avec la collaboration de centres de formation) pour des administrateurs en sécurité (sessions de 5 jours pour les administrateurs de l e-administration (CNI, Premier minis pour la prépration à la certification des auditeurs en sécurité (Cours du soir pour professionnels, pour la préparation à l examen de certification) Préparation de 2 sessions de formation pour juges et personnel judiciaire. - Agir pour la motivation des centres de formation privés. -Aider et motiver les professionnels, pour obtenir des certifications internationales (cours de préparation à l examen CISSP) : -Réalisation d un cours d initiation à la certification CISSP (4 jours) - Préparation d un cours de préparation à l examen CISSP (Cabinet étranger, spécialisé) 31

Éducation - Collaboration avec des institutions académiques pour : - Développement de Mastères en sécurité informatique : (En ce moment, un diplôme de mastère en sécurité informatique permet l obtention de la certification de l Agence). en 2004 : Lancement du premier Mastère en sécurité informatique (Collaboration entre deux institutions universitaires : ISI& SupCom). Maintenant : 5 mastères (3 universités publiques & 2 privées) dont le dernier à Sfax. -En cours : - Action pour l organisation de modules de formation (5) pour les enseignants de l université (Prêt de la Banque Mondiale). -Motivation pour l inclusion de modules de sécurité (sensibilisation) dans TOUS les programmes académiques et éducatifs. 32

Faire participer Toutes les Energies Vives de la nation, à l effort de sécurisation Impliquer le tissu Associatif Motive la création d associations spécialisées en sécurité informatique : Une association académique a été lancée : Association Tunisienne de la Sécurité Numérique. Une association de praticiens, en cours de création : Association Tunisienne des Experts de la Sécurité Informatique. - Collaboration avec les associations/professionnels, pour : - L organisation de séminaires et cours de sensibilisation (ATIM, ATSN, JCC gabes, sfax, ATAI,..) - Susciter le développement de ressources techniques (développement de méthodologies d auto-évaluation & Guide de Meilleurs Pratiques, ) -Concertation (Modèles de cahiers de Charges,..) et évaluation de la stratégie & Révision de Plans d Action 33

Préparer l Export de notre expertise Initier la Reconnaissance Internationale : «Premier pays Arabe&Africain à se doter d une Agence/Cert «Premier pays au monde à instituer juridiquement L audit obligatoire (et la déclaration d incidents)» Expérience initiée depuis 1999 et élaborée par nos «moyens propres» (avec des originalités : approche open-source, sensibilisation du grand public, ) - Réalisation de 8 interventions à l échelle Internationale, depuis début 2006. - Membre actif au sein de l Union Internationale des Télécommunications (IUT), au sein du groupe la ligne d action C5 (sécurité informatique) de l après SMSI : Préparation en cours d une conférence à Tunis («cyber-security for development, deuxième semestre 2007) sur les problématiques sécuritaires dans les pays en voie de développement et sous-développés (Afrique) -Le Cert-TCC se prépare à devenir membre du FIRST (principal consortium de CERTS mondiaux) Mission d assistance pour parrainage, par un membre de FIRST : CERT-IST (Prêt de la Banque Mondiale) - L ANSI est membre fondateur et a été élu Secrétaire général d un OIC CERT (Cert des pays islamiques, suite à la recommandations de la conférence KICT4D, Malaisie, Juin 2005). (+ En cours de signature : programme de collaboration SCP, en matière de sécurité informatique avec Microsoft, ) 34

Assurer les moyens «économiques», permettant la mise en œuvre des outils nécessaires pour la protection correcte de nos infrastructures l approche Open-Source : (gain «économique» et + Catalyseur «technologique» pour l émergence d activités de Recherche & Développement en sécurité) 35

Peu-t-on correctement sécuriser un réseau, en se basant sur des outils de sécurité, issus du monde du logiciel libre? 1. Firewall 2. IDS (Network-IDS et Host-IDS) 3. Anti-virus 4. Anti-Spam 5. Scanners de vulnérabilité 6. Proxys et Outils d authentification 7. Outils d administration et de gestion des log 8. Honey-Pots 9. 36

RESEAU PROTEGE et facilement administré SendMail Spam Assassin Amavis WebMin Swatch Log Watcher Réponse : OUI Port mirorring Console d administration OpenLDAP Apache INTERNET 37

Et Outils «faciles à utiliser» Interfaces d administration évoluées, développés par la «communauté open-source») + Large panoplie d outils d Aide à la configuration des Firewalls (régles) : Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall, Mason, Network streams, Filterrules 38

Merci pour votre attention Questions? Nabil SAHLI, Agence Nationale de la Sécurité Informatique, E-mail : n.sahli@ansi.tn Et «à Cet Après-midi, pour la suite» 39

Annexe : Le «Phénomène Sécurité» : Aperçu sur ses origines, acteurs et dégâts et exemple d attaques.

Activités d INTRUSION Convoitise INTERNET SUCCES D INTERNET S M I =Centre névralgique de la SMI : ENJEUX CONSIDERABLES: Economiques( Commerce électronique) Scientifiques/Culturels Sociaux/Politiques Impunité INTRUS Intenet = «Espace Sans Loi» + «Difficulté de retraçage» Sophistication Plus de Succès Forte INTEGRATION INTRANETs /Extranets Une SEULE Technologie = TCP/IP (DNA, SNA,..) Enrichissement ABUSIF Des Services Réseau -SECURITE + FALLES + +COMPLEXITE Societé Parallèle : SMI : SM des Intrusions HACKERS (Challenge) Criminalité organisée (Black Hats) Societé Mondiale de l Information Terrorisme ( Warefare ) (Arme) FORTE COLLABORATION Annonyme et bénévole» Espionnage (Outil) 41

Brève Histoire de la naissance du monde des «Hackers» Le verbe «hack» signifie «hacher» / «tailler». Catégories de hackers Le jargon informatique définit différentes catégories de hackers en fonction de leur légalité ou de leur nuisance dans les réseaux informatiques : Les chapeaux blancs - ou white hats : consultants en sécurité, administrateurs réseaux ou cyber-policiers, ils ont un sens de l'éthique et de la déontologie. Les chapeaux gris - ou grey hats : s'ils n'hésitent pas à pénétrer dans les systèmes sans y être autorisés, ils n'ont pas pour but de nuire. C'est souvent l'«exploit informatique» qui les motive, une façon de faire la preuve de leur agilité. Les chapeaux noirs - ou black hats : créateurs de virus, cyber-espions, cyber-terroristes et cyber-escrocs, eux, sont nuisibles et n'ont aucun sens de l'éthique. Ce sont eux qui correspondent alors à la définition de «pirates L'émergence des premiers hackers En 1959, le premier ordinateur fait son apparition au MIT et devient rapidement la proie de jeunes étudiants qui «bidouillent» la nuit, en dehors des créneaux horaires d enseignement. Par la suite, plusieurs hackers du MIT partent travailler dans des firmes informatiques, et un nouveau foyer de hackers se développe sur la côte ouest des États-Unis, où la Silicon Valley fait ses premiers pas. Une éthique (voir ci-dessous) se forme peu à peu au sein de cette confrérie unique en son genre : «l'accès libre à l'information», en porte-à-faux avec l'usage académique fait des ordinateurs, réservés à des doctorants. Aucun mot de passe, aucune protection virtuelle ou physique ne résistent aux hackers. La pomme croquée, logo d'apple est l'emblème de l'esprit frondeur et créateur des hackers, L'éthique hacker est codifiée selon les principes suivants (par Steven Levy ) : Toute information est par nature libre. Ne pas se fier à l'autorité, promouvoir la décentralisation. Les hackers peuvent se juger par leurs prouesses, non par d'autres hiérarchies sociales (ce qui permettra à un jeune prodige d'une dizaine d'années de rejoindre le groupe). Art et beauté peuvent être créés avec un ordinateur. Les ordinateurs peuvent changer et améliorer la vie. 42

Quelques affaires d escroquerie, «qui ont fait du Bruit» - Espionnage économique - Aux Etats-Unis ( 2005): une cadre de l entreprise BES (Business Engine Software Corporation), reconnaît avoir planifié l intrusion du système informatique d un concurrent (NiKU). Pendant 10 mois, des données de NIKU auraient ainsi été copiées par BES, pour en tirer un profit commercial. - Suède (2005) : un consultant informatique hongrois a été condamné à 3 ans de prison pour espionnage industriel. De mars 2002 à juin 2004, il s était introduit dans les systèmes informatiques de la société de téléphonie Ericsson et avait copié frauduleusement des informations à caractère industriel secrètes (codes sources utilisés dans les téléphones mobiles de Ericsson, et des données militaires secrètes). le pirate a expliqué qu en réalité, il voulait montrer les failles de sécurité du système de Ericsson et obtenir un emploi dans cette entreprise. Mais le juge a récusé cette thèse (il avait un autre plan : vendre au plus offrant sur Internet les données auxquelles il avait accédé, car il n avait pas contacté l entreprise pour proposer sa candidature). Vol de données / Chantage extorsion racket sur Internet : - Jugement d un intrus pour Vol de code source Microsoft (périmé), juin 2005. - L outil «Pgpcode», utilisé pour le rançonnage, via la prise de fichiers en otage (01net, du 3 juin 2005) - Apparition d'un virus rançonneur (dépêche AFP, du 1 juin 2005) Cyberterorisme : - usurpation de numéros de téléphones http://www.theregister.co.uk/2005/12/19/terror_phone_clone_scam/) 43

Nouveau phénomène : Le «Commerce de l Intrusion» Offre de service : Attaque de SI de concurents vente en ligne d outil d attaque «hacker defender» (990 ) : protection contre les logiciels de sécurité avec contrat de mise à jour assurant à l acheteur une indétectabilité par les nouvelles générations de logiciels de sécurité 44

Quelques TENDANCES du «hacking» : De plus en plus d attaques contre l intégralité d infrastructures Les attaques des Black-Hats concernent des réseaux entiers (BotNets) et non plus des ordinateurs isolés. Il faut s'attendre aussi à une augmentation rapide d'attaques sur les serveurs d infrastructures : Serveurs DNS (responsables de la correspondance entre noms de domaine et d adresses IP : les utilisateurs Internet peuvent alors être déviés vers des serveurs manipulés pour des Attaques), Serveurs e-mails (vol d adresses e-mails pour le phishing),. Attaques ciblées contre des entreprises Beaucoup plus d attaques sur les systèmes informatiques des entreprises avec pour but d escroquerie. En 2004 déjà, 16% des attaques ciblées ont visé des applications de commerces électroniques ce qui correspond à une augmentation de près de 400 pour cent par rapport à l'année précédente ( vol d informations de cartes de crédit et d'autres données financières sensibles). Commerce du «hacking» : Une claire tendance vers la professionnalisation et la commercialisation de la cyber-criminalité Les auteurs des attaques ciblées ne sont plus des crackers isolés, mais plutôt des organisations criminelles. Les crackers et les auteurs de virus travaillent conjointement avec des criminels et se font payer pour attaquer des sites de concurrents de commanditaires malhonnêtes. Régionalisation des codes malicieux Les intrus utilisaient surtout l anglais dans les courriers électroniques «minés», mais une forte tendance vers l utilisation de textes germanophones et français a été observée Très bientôt l arabe. 45

RADIOSCOPIE D UNE INTRUSION : 2 PHASES Attaques P A S S I V E S S O N D A G E E S P I O N N A G E Ciblés INTERNET Exploits spécifiques «Sniffeurs, KeyLoggers» Automatiques Récolte de Passwords Récolte de séquences à Rejouer.. Sondage automatisé (robots) de TOUTES les Failles connues. DECEPTION Social ENGINEERING 46

ANALYSE Des FAILLES DECELLEES Edification «Réfléchie» (et concertée) TEST sans risque et le Temps qu il faut d Attaques Combinées et Bien Planifiées 47

Evolution des FAILLES dans les progiciels Source : National Vulnérability Datrabase http://nvd.nist.gov Criticité des vulnérabilités découvertes 48

Relation Vulnérabilités des logiciels / Attaques 49

Nombre d Intrusions Attaques de plus en plus sophistiquées et faciles à lancer (Enfants Script Kiddies) 25000 20000 15000 Exploiting Known Vulnerabilities Spyware Sweepers DDOS Back Doors Sniffers Disabling Audits Packet Forging/ Spoofing Sophistication des outils de Hacking 10000 5000 0 Self Replicating Code Password Guessing Password Cracking 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 Source: CERT, Carnegie Mellon University Connaissances Techniques requises 50

Deuxiéme Phase de l ATTAQUE: Phase «ACTIVE» N O C I V E Atteinte à - la Confidentialité du SI, - l Intégrité du SI - la Disponibilité du SI - Autorisation, Non-Repudiation, Compabilisation (Log) Atteinte à la CONFIDENTIALITE : - Vol (lecture) de Données, via l Implantation d outils de capture de données (Key Loggers : capture des frappes de clavier, Sniffeurs : capture des données en transit sur le réseau,, Canaux Cachés (entités d espionnage) Atteinte à l INTÉGRITÉ : Modification (non detectable) des Données Atteinte à la DISPONIBILTE : IMMOBILISATION sélective ou GLOBALE de Serveurs ou/et du RESEAU (DENI DE SERVICE ) Atteinte aux mécanismes d autorisation/ Non-répudiation : Usurpation de droits et abus des interlocuteurs Atteinte aux mécanismes de Comptabilisation (log) : Corruption des outils de Log ( effacent leur traces, via l Implantation de codes malicieux (Chevaux de Troie,..). + Implantation de portes dérobées : programme implémenté secrètement sur une machine et permettant ensuite à son concepteur de s y introduire à distance, pour «revisiter» le SI à tout moment.. 51

Quelques Chiffres sur les dégats (Dus aux seuls VIRUS ) Pertes Matérielles dues aux Vers/virus : 1995 0,5 Milliards US $ 1998 6,1 Milliards US $ 2003 13 Milliards US $ 2004 20 Milliards US $ -Source : Computer Economics, 2004. 2005 : Pour 640 entreprises : 42 Millions US $ Source : enquête FBI/CSI 2005 Nouvelle Epidémie = SPAM (Thème du SMSI de Tunis) En 2007, le SPAM coûtera aux entreprises et aux consommateurs plus de 198 Milliards de $. - Source : CSO, Forbes o Le Spam coutait, en 2005, entre 50 $ à 200 $, de perte de production /employé (Les e-mails de Spam ont atteint les 80 % de tous les échanges d e-mail). - Source : Rambler s social initiative and research fund 52

Evolution du Taux de Circulation des Virus Selon le rapport 2005, d un grand éditeur d anti-virus : DE PLUS : Actuellement PEU de vers exploitent les «Potentialités» dangereuses offertes par quelques vulnérabilités : - Multiplication des vulnérabilités exploitables par des vers, entre autre, celles permettant de mener des actions de DESTRUCTION massive des données («Tchernobyl III») - Diversification des vecteurs de propagation : Systèmes de messagerie instantanée/ Logiciels de transfert de poste à poste (peer-topeer) Périphériques Intelligents : Téléphones portables, Voix sur IP, Connections BlueTooth, Assistants personnels 53

Vitesse d infection : cas du ver «Slammer» Temps de «Survie» d un PC, après infection par le ver «Slammer» 90 % des PCs d un Réseau local Infectés en une Heure de temps MOYENNE «Vieux» virus (2002-2003) Code Red : 250 000 systèmes infectés en moins de 9 heures et 2.62 Milliards de $ de pertes 54

Mais aussi, des Préjudices «Moraux» 55

56

Mais aussi 57

Selon diverses Enquêtes de sécurité - Total des pertes enregistrées, aux USA = 142 Millions $ FBI, DTI, CSI, ISC2, Moyenne des pertes suite à des incidents cybernétiques en 2004 : - Moyenne par entreprise, en UK = 213 000 $ -En 2005 : Pour 639 entreprises : 130 Millions US $, soit 203 000 /entreprise (enquête FBI/CSI, 2005) 58

- 43% ne dévoilent pas leurs attaques (40% en 2001) Besoin d assurances, quant à la confidentialité des déclarations (Loi TUNISIENNE sur la sécurité informatique N 5-2004) 59

Quelques ATTAQUES et les Mesures de protection «SIMPLES» pour s en protéger (Des simulations et démonstrations d attaques seront effectuées, au début des chapitres 1 et 4 de ce cours et tout le long du festival, au niveau du stand 2 de l ANSI, «stand grand public») 60

ATTAQUE par Déni de service sur un système N ayant PAS appliqué les correctifs de sécurité ( «Patchs») 1 seule Commande La Sécurité Informatique est avant tout une affaire De CONSCIENCE l existence des DANGERS Redémarrage (panne) du Système NON «patché» (Contenant des failles) SOLUTION pourtant SIMPLE : APPLICATION régulière DES CORRECTIFS DE SECURITE (Patchs) IL SUFFIT DE : - Automatiser le plus possible la procédure de déploiement des Patchs (WindowsUpdate, ).. Et - Assurer une veille sur les vulnérabilités, en s abonnant à des Mailing-List de sécurité (entre autres : Cert- TCC@ansi.tn de l ANSI) 61

La Sécurité est une affaire de Conscience COLLECTIVE : Attaques de Déni de Service DDos (Distributed Denial Of Service) Ver (virus réseau) Exemple: Le fameux Blaster ( Lancé le 11 août 2003, avec infection d environ 2000 ordinateurs par heure) Ciblait à terme un déni de service sur le serveur Microsoft www.windowsupdate.com Utilisait une faille dans une partie ancienne de Windows dont le correctif a été publié un mois auparavant (16 juillet 2003) Se réplique par des ports de communication, qu un firewall devrait, par défaut, bloquer A échoué dans l Immobilisation du site Microsoft, mais a constitué : - l un des éléments de la cascade de pannes électriques aux USA! - l un des éléments du défaut d'information au ministère de la santé Français lors de la canicule de 2004! SOLUTION pourtant SIMPLE : -ACTIVATION DES PROTECTIONS DISPONIBLES AU NIVEAU des Equipements de frontière (Routeurs) ou l installation de Firewalls( open-source) -- Installation de Solutions Anti-Virales, régulièrement mise à jour. 62

Une récente attaque, d essence criminelle : Attaque de «Phishing» Technique du «Phishing» : -Abus de l'utilisateur via des courriers envoyés massivement (spams), et apparaissant comme authentiques (en utilisant «le nom» d'une institution financière ou d'un site commercial connu : -Demande aux destinataires, sous différents prétextes, de mettre à jour leurs paramètres de comptes «Internet» ou bancaires, en cliquant sur un lien menant vers un faux site Web ( copie conforme du site de l'institution ou de la banque), où le pirate récupère ces données compromettantes (identités et passwords de comptes, codes de cartes bancaires,..), lui permettant de les utiliser pour détourner des fonds à son avantage ou acheter des produits sur le compte de l utilisateur abusé. Les sites les plus visés dernièrement : BANQUES (Citibank, US Bank, VISA, Suntrust, Keybank,( Sans citer ceux qui ont camouflé le fait...) SITES e-commerce : (ebay, Paypal, Amazon) Et AOL, Earthlink, MSN, Yahoo! 63

Phase 1 : Abus de l'utilisateur via des courriers envoyés massivement ( spams), Envoi massif d e-mails (spam), Avec : Des objets trompeurs Subject: "ebay Member Billing Information Updates" Des adresses d'expédition usurpées From: SecretService@ebay.com Des corps du message «incitateurs» : Demande d'informations sur l'utilisateur pour la "Sécurisation" de son compte. Et généralement «Menaçant» : Suppression imminente du compte si pas de mise à jour Débit imminent si pas d'annulation d une transaction de vente... ET - contenant un lien (texte/image), dissimulé, qui réalise une redirection automatique vers un site sous contrôle de l attaquant OU - incorporant,en pièce attachée des logiciels espions (KeyLoggers), qui enregistrent les frappes clavier et les envoient à l Intrus (Exemple: Sanity, Troj/Banker-K, AR,..) 64

Exemple E-mail (Spam) : From: ServiceDepartment@visa.com Subject: «Visa card online protection" Le texte Activate Now for Verified by Visa» dans la page pointe, via un lien HTML caché, vers l'adresse du site sous le contrôle de l'attaquant (http://usa.visa.com/track/dyredir.jsp?rdirl=http://194.93.45.10/.verified/ : code Javascript) Ou Modification de la résolution DNS des systèmes cibles (attaque dite de «pharming») 65

Phase 2: Edification d un faux serveur web appât - Ayant même apparence que le site Original : copie «conforme» uniquement modifiée, en Incluant un formulaire demandant des informations compromettantes (demande le code PIN de la carte bancaire, password de compte,..) - Dissimulation de l'adresse du site (au niveau du navigateur) par différents moyens Possibles : - exploitant le manque d attention de l UT : - Utilisation d'adresse IP au lieu d'un nom complet, adresses longues et complexes pour tromper l'utilisateur, Noms de domaines trompeurs (usa.visa.com, -la barre d'adresse indique une URL https (alors que la barre d état du navigateur n'indique pas de «cadenas») - OU / ET, en exploitant des «failles» (potentialités) des navigateurs : - Utilisation de Subterfuge graphiques pour dissimuler la barre d'url et/ou la remplacer, via du code JavaScript, exploitant des failles de sécurité des navigateurs web) -Par une image Javascript cache la barre d'url du navigateur : la page appât comporte en haut une image qui ressemble à une barre d'url indiquant le site légitime - Via une petite zone (de la taille d'une barre d'adresse de Navigateur) placée au dessus de la vraie barre d'adresse du navigateur (de texte noir sur fond blanc ) 66 XXXX

Adresse apparente Adresse du site De l attaquant Pas de verrou 67

Cas (REEL) d attaque du site d ebay (en 2003) - Courrier électronique en HTML From: SecretService@ebay.com Subject: "ebay Member Billing Information Updates" Dans le mail, lien vers ebay Billing Center, un site web dont l'adresse est : http://211.56.245.66:7301/ ( Adresse IP d'un hébergeur web coréen), Le faux- site 68

69

Un phénoméne en continue progression

PARDE au PHISHING : Problème, avant tout,de CONSIENCE de ce danger - Conscience des utilisateurs : Ne jamais fournir d'informations personnelles ou confidentielles en réponse à une requête non sollicitée Et surtout pas ses mots de passe ou codes confidentiels Lorsque l on doit se connecter à un site authentifié, ne jamais cliquer depuis un mail reçu ou en utilisant un lien depuis une page web «non certifié»: En cas de modification de password (e-mail,..) : veiller à ce que le site utilise HTTPS ET que le "cadena«du navigateur est bien apparent. Et à défaut (site non sécurisé) -Regarder attentivement l'url du site que l on visite et en cas de doute comparer avec l'url des Propriétés de la page, Règle d'or : MÉFIANCE, lorsqu il s agit de fournir des renseignements personnels et surtout des codes confidentiels. - Côté Responsables de la Sécurité des SI : Veiller attentivement à la sécurité des systèmes pour éviter d être exploité pour ce type d attaque, sans en être conscient: Les attaques de Phishing impliquent généralement La compromission massive de systèmes vulnérables (non patchés) pour -- envoyer les messages de spams Et -L installation dissimulée du site web appât, Règle d'or : - Sécuriser les zones (serveurs) en contact avec l Internet. - Auditer et «patcher» régulièrement les plate-formes. 71

PREMIERE et GENERALEMENT SUFFISANTE PARADE = LA CONSCIENCE (Et Connaissance) Des DANGERS Et la PRUDENCE «Sans succomber à la Paranoïa 72

Derniére Forme d attaques visant les infrastructures : Combinaison de plusieurs outils d intrusion : Les Robots «Bot/BotNet), (apparus avec les réseaux hauts-débits : ADSL,..) : Les robots (Bots) sont des programmes malveillants permettant une prise de contrôle à distance de machines vulnérables afin de les utiliser comme «armada» d attaque ( botnet), sans la connaissance de leurs propriétaires. Durant 2005, On découvrait entre 25 et 50 nouveaux robots chaque jour Pour s implanter, un robot peut être déposé sur la victime par : Un courrier électronique (spam), Un vers ou virus ou un cheval de Troie exploiter des vulnérabilités, des partages ouverts, Le robot s exécute silencieusement sur chaque système piraté et se connecte automatiquement à un serveur IRC prédéfini pour rejoindre son botnet. Chaque système piraté peut alors, être piloté à distance par l attaquant, pour : - Récolter de l information, - Participer à des attaques DDoS, - Servir de relais de spam et/ou de phishing, - diffuser de programmes indésirables (adwares), 73

Les «Bot/BotNet), Bot = Ver+Troyen+ Porte dérobée («Back-Door») 1- Installation Des Bots, en exploitant des failles INTERNET 21 millions d hotes se rajoutent à Internet, chaque année Techniques trés évoluées d infiltration et combinaison d outils d intrusion (ver+ KeyLogger+ troyen,..) Evolution vers une quatriéme génération de styles d attaques DDOS en à peine 2 ans 2- Connection à des Bot C&C (serveurs IRC), Permettant de les «orchestrer» à distance Bot 3- Prise de contrôle Et exploitation Pour des Attaques de MASSE: DDos, Spam, Phishing,..) La PARDE Nécessite la Collaboration de Tous : Administrateurs de réseaux infiltrés + Agences de sécurité + FSIs 74

Octobre 2005 : La police Hollandaise a arrête 3 hommes soupçonnés de diriger un réseau de 100 000 ordinateurs. Ils se proposaient de mener des attaques DDoS et s intéressaient aux comptes PayPal et Ebay de leurs victimes. Novembre 2005 : - Aux Etats-Unis, un homme arrété avait entre juin 2004 et août 2005, louait des réseaux de robots destinés à diffuser du spam ou à mener des attaques DDoS. L homme était aussi rémunéré pour diffuser des adwares. On estime qu il a mis sous contrôle plus de 400 000 ordinateurs. Octobre 2005 : En Hollande, la police a arrêté trois jeunes gens (entre 19 et 27 ans) accusés de s être infiltrés dans 1,5 millions de machines, pour les contrôler à l aide d un programme viral dénommé «Toxbot» permettant d intenter des destruction de données et de diffuser des adwares et des spywares. 75

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back