Journée CLUSIR EST 28 septembre 2007 «Sécurité, Virtualisation et Bases de données» «Sécurisation des données hébergées dans les SGBD» Bruno Rasle bruno.rasle@cortina.fr
Bruno Rasle Responsable des Offres bruno.rasle@cortina.fr www.cortina.fr Co-auteur de Halte au Spam (Eyrolles) Nettoyage de Printemps des DNS Administrateur de l AFCDP Correspondant Informatique & Libertés
Respect de la loi (I&L, art. 34) Jurisprudence? CNIL : qui en a peur? Contrôles sur place : une réalité Loi Californienne A l étude à Bruxelles? Crainte de la concurrence Conformité (SoX, LSF, etc.) ou bonnes pratiques Pressions externes
SGBD : parents pauvres de la sécurité Pourquoi? Raisons psychologiques : «Elles sont loin au sein de l architecture» «Il n existe pas de risque interne» Si attaques il y a, elles sont discrètes Les DBA ne sont peu formés à la sécurité Très peu d injonctions aux DBA de prendre soin de la protection/confidentialité des données sensibles et si sensibilisation, on se focalise sur les cas les plus évidents, en oubliant certaines pratiques à risques (développement, recette, formation, dépannage) : on reste ancrée dans de la défense «périmétrique», au lieu de suivre la donnée/l actif immatériel. Menaces
«Portefeuille de solutions» (qui répondent à des problématiques) Chiffrement Comptes privilégiés Droits des Administrateurs Failles - Correctifs de sécurité Firewall Applicatif Anonymisation Gestion des risques
2 Chiffrement de la Donnée stockée 5 Chiffrement au niveau des Applications Stockage 1 Chiffrement de Base de Données 4 Chiffrement des Périphériques Base de données 3 Chiffrement au niveau du Poste Chiffrement Périphériques amovibles Poste de travail
Chiffrement sélectif = Protection de la «dernière chance» Ségrégation des rôles et des accès Chiffrement
Chiffrement des bases de données: pas si simple création, rotation, protection, gestion des clés, performances, scalabilité, ségrégation des rôles, auditing, périmètre couvert, transparence aux applications, etc Chiffrement
Avez-vous vous-même utilisé l un de ces mots de passe pour accéder à des informations confidentielles, sensibles ou personnelles, ou connaissez-vous un collègue qui l ait fait? Oui : 46% (source Cyber-Ark) «Pourquoi est-ce que cela vous surprend tellement que nous regardions les fichiers? Vous n en feriez-vous pas autant si vous aviez accès de façon discrète à tout ce qui passe entre vos mains?» Avez-vous connaissance d anciens collaborateurs qui ont quitté l entreprise et qui disposent toujours des droits d accès à l infrastructure? Oui : 28 % (source Cyber-Ark) Sécurisation des accès privilégiés
Chaque base de données Oracle est livrée avec 31 comptes par défaut. comment traiter le risque humain? comment faire appliquer la politique de sécurité? comment assurer la gestion professionnelle des mots de passe privilégiés? Sécurisation des accès privilégiés
Sécurisation des accès privilégiés
Les mots de passe intégrés dans les applications, sont : Stockés en clair - visible par les développeurs et les ingénieurs support Codés en dur toute modification demande une modification du code Statiques rarement modifiés Communs souvent les mêmes Finissent par être connus à longueur de temps Il est quasiment impossible de savoir qui a accès à ces mots de passe, et qui en a connaissance (Audit? Reporting?) Et les applications?
Nbre de failles de sécurité publiées depuis janvier 2006 (source Sentrigo) Bases de données Oracle : Nbre cumulé de failles de sécurité publiées depuis 2003 (source Sentrigo) Failles et Correctifs (de sécurité)
Rétrospective des CPU Oracle (source Cortina) Deux jours après le CPU d octobre 2005, un malware exploitant l une des 82 failles était déjà signalé. La vulnérabilité, qui selon l éditeur ne concernait que les utilisateurs de la version 10g, existait également sur la version 9i. En juillet 2005, peu de temps après son CPU, Oracle a demandé aux utilisateurs d Oracle 10.1.0.3 et 10.1.0.4 de procéder à nouveau à l installation du patch pour certaines plateformes. Une faille, jugée locale en janvier 2006, est devenue remote en mars Failles et Correctifs (de sécurité)
18 Jan 06 CPU 25 Jan 06 DayZero David Litchfield (BlackHat) Failles et Correctifs (de sécurité)
patches for Oracle Database version 8.1.7.4 (Patch 4751906) on Solaris... Due to a typo in the patch.sh file, this patch failed to apply with "ERROR: Missing patched object file, <path>/4751906/db_8.1.7.4/kolfo". 1. Re-download and re-apply the latest version of the patch dated 15-FEB-2006. 2. Look for the following line in patch.sh and change 'kolfo' to 'kolf.o', then re-apply the patch Failles et Correctifs (de sécurité)
De plus en plus de d attaques sont de type applicatives, et non de type réseau. Ces attaques se moquent des pare-feu «traditionnels». Apparition récente de «WAF» (Web Application Firewall) et de Firewall pour bases de données, sous forme d appliance ou de logiciel à installer sur un serveur. Installation? Flux chiffrés? Risques internes? Panne? Scalabilité? Performances? Firewall Applicatif pour SGBD
Firewall applicatif Web sous forme de plug-in Firewall applicatif pour SGBD sous forme de plug-in Firewall Applicatif Pour SGBD
Quelles sont les pratiques à risques? Anonymisation
Anonymiser réduit le risque Quand parle-t-on d anonymisation? Quelles données anonymiser? Quelles techniques utiliser? Anonymat ou Pseudonymat? Où sont les difficultés? Jargon Anonymisation
Quelles techniques utiliser? Par suppression Suppression de données Masquage Par remplacement ou modification Chiffrement Translation - Correspondance Hachage Vieillissement Génération de données (librairie ou aléatoires) Concaténation Mélange Par ajout Obfuscation Anonymisation
En août 2006, un FAI américain a mis en ligne pendant quelques heures un document contenant des millions de données sur les recherches effectuées par ses utilisateurs américains. Ce fichier avait été rendu anonyme, mais de façon insuffisante : Exploité par de nombreux chercheurs, il a rapidement livré des résultats assez intéressants et permis de retrouver la trace d internautes, d identifier leurs numéros de sécurité sociale, leurs adresses parfois, jusqu à leur nom pour certains. La taille du corpus à son importance : en France, les équipes de la CNIL ont recours à une doctrine informelle selon laquelle on doit trouver dans le fichier au point 15 (ou 20) représentants d une valeur spécifique, pour minimiser les risques d identifier un individu. Un résultat assuré?
Anonymisation : Un véritable processus
Les bonnes résolutions La meilleure anonymisation possible, c est encore la suppression des données à caractère personnel Chaque fois que c'est possible, remplacer une donnée identifiante par un numéro d'ordre Au moindre doute, ne pas hésitez à prendre contact avec la CNIL (ou son CIL) AFCDP (www.afcdp.org ) Glossaire Les questions à se poser Anonymisation Bonnes pratiques
Deux outils : le premier crée des jeux de tests de taille réduite mais pleinement fonctionnels à partir des bases de production (les données restent natives) le second anonymise les informations issues des bases de données Anonymisation Outils
Cortina vous aide à mieux protéger vos données confidentielles, stratégiques, sensibles à caractère personnel www.cortina.fr La protection de vos informations est notre cœur de métier
Merci de votre attention Bruno Rasle bruno.rasle@cortina.fr A votre disposition, plusieurs livres blancs : - Audit de mots de passe - «Vive les mots de passe» - Pourquoi Anonymiser les données? - Rétrospective des CPU Oracle, etc. Ainsi que la version gratuite (version Monitor) du Firewall applicatif pour SGBD (Oracle) www.cortina.fr