1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions

4. Sécurité des Réseaux Lecturers: Fabien Duchène, Dominique Vicard Parties: 1. Menace, vulnérabilité, attaques 2. Divers algorithmes et méthodes 3. Sécurité du poste client 1

1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions omenaces ovulnérabilité oattaque, exploit ocontre-mesure odurcissement o1.2. Exemples d attaques omalwares oinfrastucture (BGP, DNS, Botnet, DDOS) oidentité (Phishing, Scamming) o1.3. Alertes & informations utiles 2

RAPPEL: propriétés de sécurité CIA -integrity: data destruction or alteration -confidentiality: only authorized people can access data -availability: QoS degradation (for another user) AND: -traceability, non-repudiation, privacy 3

1.1. Définitions o Menace (threat): évènement qui invalide au moins une propriété de sécurité s il se produit o Vulnérabilité (vulnerability): propriété dans un système qui permet à une menace de se réaliser o Exploitation (exploit) d une vulnérabilité concrétise une ou plusieurs menaces o Attaque(attack): consiste en au moins une exploitation o Contre-Mesure (counter-measure) o Mesure mise en place afin de se protéger contre une ou plusieurs menaces o Durcissement (hardening): ensemble de contre-mesures mises en place dans un système donné afin d assurer les objectifs de sécurité o Politique de sécurité (Security policy) o Ensemble des contre-mesures mises en place dans un système d information en vue d assurer les objectifs de sécurité 4

1.1. Vulnérabilités STRIDE (=enjambée, grand pas) - Spoofing: usurpation of a legimitate user credential - Tampering: a user alters data or system process (modification or destruction) - Repudiation: unability to prove a user did an action - Information Disclosure: releasing information of a system object (eg: httpd version) - Denial of Service: the service becomes unavailable for legitimate users - Elevation of Privilege: the hacker illegimitately obtains privileges allowing him to perform additional threats 5

1.2. Exemples d attaques Malwares Malware, Worm, Virus, trojan, spyware, adware, rootkit Infrastructure - BGP route hijacking - DNS cache poisoning - DDOS - Botnet Identité - Phishing 6

1.2.1. Application - malwares o Malware o MALicious software: generic term o Harm or secretly access data without user consent o Could affect the system performance o Worm: autonomous self-replicating malware o Virus: self-replicates and attachs itself to a process (needs a host) o Trojan: permits performing remote operations. Appears harmless (eg: fake antivirus). o Rootkit: has a privileged access to the system. Hides itself from the OS o Spyware: collects information about user o Keylogger: saves any keyboard input o Adware: display ads regarding to the data retrieved 7

1.2.1. Vers (Worms) o Se propage à travers le réseau o Exemple : Internet Worm (1988) o Attaque des systèmes Unix o Se propage par "confiance mutuelle" (Rhost) o Craque /etc/passwd - par dictionnaire (432 entrées) o Utilise un bug dans Finger et dans SendMail o Se duplique sous forme chiffrée 8

1.2.1. L histoire de l Internet Worm o Le 2 Novembre 1988, Robert Morris, Jr., un étudiant en Computer Science à l Université de Cornell lance le Worm o En 48h, 60.000 machines infectées o Dégâts de $250 à $50.000 par site 9

Infection : Code Red 10

Une fois infecté, quelles conséquences? o Lucky o Tous vos amis Facebook reçoivent sur leur Wall une publicité pour du Viagra recommandée par vous. o Un Mickey masqué traverse votre écran toutes les 15 secondes o Votre machine travaille la nuit pour arroser de spam la planète et vous êtes blacklisté sur tous les serveurs de messagerie du monde. o Unlucky o Votre machine participe à une attaque en DDOS sur les serveurs de la Royal Bank of Scotland ou de l OTAN. o Vous distribuez en P2P des photos et des vidéos pédophiles o La seule solution pour éradiquer le virus est le formatage et vous alliez justement faire un backup pour sauvegarder vos données. o Vous êtes Hadopié sans le savoir 11

Infrastructure :Attaques structurelles(1) Asia Pacific - Red Europe/Middle East/Central Asia/Africa - Green North America - Blue Latin American and Caribbean - Yellow Internet est intrinsèquement résilient et distribué Une partie de la sécurité du backbone est basée sur la confiance De nouvelles attaques ciblent ces éléments M 0.2. Parano: mode d'emploi 13

Infrastructure :Attaques structurelles(2) M o 1.2.2.1. BGP route hijacking (2008) o Faire croire à un routeur qu on dispose d une route plus performante o Rerouter l ensemble d un traffic vers un réseau «shadow» o 1.2.2.2. DNS cache poisoning (2008) o Injecter dans le cache d un DNS une traduction erronée o Le DNS utilise UDP facile a falsifier Ces vulnérabilités sont structurelles 14

Why is it so important to secure DNS? o DNS=a major internet layer o Every communication relies on it: o Browsing, Bank, Search, Social networks o B2B operations 15

1.2.2. Attaque DNS Cache Poisoning (1) o T0, Serveur A demande un Serveur B : "Connais-tu l'adresse IP de cette URL là car je ne la connais pas?" o T0+n, Serveur Pirate : "Oui, la voici : adresse-ip usurpée". o T0+N, Serveur B : "Oui, la voici : véritable adresse IP". o T0+x : Serveur A "Merci, j'enregistre cette réponse pour ne plus te la demander à l'avenir". Le pirate répond avant que le vrai serveur DNS ait eu le temps de répondre XMCO 16

Attaque DNS Cache Poisoning (2) Fonctionnement normal du DNS XMCO 17

Attaque DNS Cache Poisoning (3) Etape 1 : Recherche de réponses avec le bon Id XMCO 18

Attaque DNS Cache Poisoning (4) Etape 2 : Empoisonnement par réponse rapide et mise en cache XMCO 19

DNS cache poisoning Video: http://www.youtube.com/watch?v=1d1tuefyn4u Links: - http://www.secureworks.com/research/articles/dns-cachepoisoning - http://en.wikipedia.org/wiki/dns_cache_poisoning 20

How to prevent fake DNS records? o Ensure DNS replies are made by a DNS server we trust o Ensuring the integrity of DNS replies o Eg: DNSSEC (DNS SECurity Extensions) o DNS replies are SIGNED o Root DNS servers have DNSSEC extensions since July 15 th, 2010 o Problems: o To limit replay attacks, zones & records: signed frequently o CPU load (cryptographic operation) o US root DNS 21

DNSSEC record signature algorithms Source: http://en.wikipedia.org/wiki/dnssec 22

DNSSEC deployment http://maps.google.com/maps?q=google%20map%20of%20world%20wide% 20DNSSEC%20Deployment 23

DNSSEC problems & vulnerabilities o Problems: o Certificates distribution o Vulnerabilities: o Original DNSSEC desgin: o Zone enumeration: information disclosure. We normally use split views for segregating DNS replies depending on the network of the DNS client o Bind (2009): DNSSEC cached NXDOMAIN replies (NoneXistent domain) when autorized for recursion and signing for other domains o => carrefully set the allow-recursion for specific networks 24

1.2.2.3. DDOS odistributed DOS (Denial Of Service) o Multiple systems flood one precise system o Ways: obotnet ovoluntarily (thus a DDoS is not necessarily performed WITHOUT the user consent) eg: The Wikileaks revenge! 1 Experienced problems with: DNS, paiement Cause: (EveryDNS, Paypal, ) did shutdown their service only for WikiLeaks 2 Hackers did provide instructions and tools for volunteers to set up a DDoS attack 3 Each volunteer did perform a DoS attack on Mastercard, Paypal, EveryDNS servers time 25

DDoS: Attaque Février 2000 o Attaque coordonnée o Impact sur les cours de bourse o Impact sur le chiffre d affaire des sociétés Une preuve de la fragilité de l infrastructure 26

Feb 8 th, 2000 10:50 AM PST * Buy.com -- Web e-tailer knocked offline on the day of its IPO -- swamped by an assault of 800 megabits of data per second. 12:30 PM PST * Stamps.com -- Site proactively takes down its service for 30 minutes as a precautionary measure. 3:20 PM PST * ebay -- Attack severely limits the access to the Web's largest auctioneer until 9 PM PST. 4 PM PST CNN.com -- News portal knocked offline almost two hours, until 5:45 p.m. PST. 5 PM PST * Amazon -- 'Junk traffic' severely curtails access to giant e- tailer for an hour, until 6 PM PST. 6 PM PT * MSN -- Host of Microsoft's portal plagued by denial of service attacks into Wednesday morning. 27

Feb 9 th, 2000 4:30 AM PST * ZDNet -- Tech site knocked offline for two hours -- until 6:30 AM PST. (ZDNet News is a part of ZDNet.) 5:00 AM PST * E*Trade -- Less than 20 percent of E*Trade customers able to gain access to the No. 2 online broker for more than an hour. 28

1.2.2.4. BOTNETS http://en.wikipedia.org/wiki/botnet o Definition: o A hacker controls a network of computers and executes operations. Motivations: o 1. The hacker infects computers (via email, worm, virus, trojan horse) o 2. He is now able to perform operations via a channel (IRC,HTTPS,P2P ) o 3. Somebody rents its usage o 4. The hacker executes these operations for a specified amount of time or production(spam, DDoS, trading) First botnet: 2004. Did they invent the concept of pay-as-you go in IT services? 29

1.2.4. Robots Bots (2) o Pour s implanter, le robot utilise des méthodes classiques : o Un courrier électronique (spam) o Un vers ou virus o Un cheval de Troie o Il peut posséder son propre module de propagation (souvent lente et ciblée) et exploite : o Une vulnérabilité o Des partages ouverts (open shares) o Des mots de passe faibles ou manquants o Il peut exploiter la crédulité des internautes (social engineering) Source : CLUSIF 31

1.2.4. Famous botnets o Bredolab (2009), Russian team o viral email spam o 30M infected computers, 145 control servers o Financial gain: $139,000/month o Mariposa (2008-2009), Spanish Team o Scamming, DDoS o 12M infected computers o Propagation: USB, P2P, shares, MSN http://en.wikipedia.org/wiki/bredolab 32

Sécurité dans les vers & botnet Stormworm M o Binaire protégé : 2 couches de chiffrements qui varient avec quasiment chaque binaire o Détection des machines virtuelles et protection anti-sandbox o Programmé en C++, code multi-threadé : amélioration perceptible du niveau des programmeurs de malware o! Le C++ complique nettement la tâche du reverser o! Le multithreading également (surtout à cause de l API Windows) o! Code modulaire (couche de communication séparée de la couche de contrôle) o Le bot utilise le protocole P2P Overnet, basé sur la spécificationkademlia 33

1.2.5. underground economy - Botnet o Source Peter Haag SWITCH Security Workshop, 03/11/2004 o Le plus grand botnet : > 140.000 machines o Un accès non exclusif à un bot vaut 0,15 o 0,35 en mode exclusif (10 cents, 25 cents) o Un réseau de 500 bots peut valoir jusqu à 380 (500$) o La location de 20.000 proxies par jour pour spammer vaut 75 /semaine (100$) o Les attaques DDoS se négocient entre 38 et 750 (50$ et 1000$) o Pour 38 par mois, on reçoit une liste quotidienne de proxies ouverts (50$) Source : CLUSIF 34

1.2.5. Underground economy: Russian Business Ntw M o 1 million de sites, plusieurs millions d adresses IP disponibles et 4 millions de visiteurs par mois. o Nombreux sites de vente de faux produits de sécurité (anti-virus, antispyware,codecs). o Sites de ventes de malware, forums spécialisés (mise en relation, ventes, achats). o Sites proposant des rémunérations en contrepartie d activités douteuses (iframer) o Nombreux sites piégés adressés par les IFrames (avec exploits, MPack), sites miroirs (RockPhish). Sites relaispour auto-génération de malware (W32/Nuwar), etc. o Sites collecteurs (phishing) et administrateurs (botnet). o Sites pour adulte (XXX) et sites pédophiles. 35

o Phishing: 1.2.2.4. Identité o Acquire sensitive information (username, credit card ) through identity impersonation o Methods: opossibly spoofed email sender / instant messaging ohtml: <a href="https://evilpaypal.com">https://www.paypal. com</a> owebsite with same «look-and-feel» o How to protect yourself? o Technical (not enough): browser filters o educate users! 53

Eg: Paypal educate users! 54

1.3. Alertes et informations utiles o http://www.certa.ssi.gouv.fr o Agence nationale de la sécurité des systèmes d information o csrc.nist.gov o Computer Security Ressource Clearinghouse ; National Institute of Standards & Technology o www.cert.org o Computer Emergency Response Team o www.secunia.com o Sites des «vendeurs», bulletins de sécurité 55

ANSSI - alertes 56

1.3.2. Vulnerability disclosure o Public disclosure: o Security researchers publicly disclose it o Risk: «in the wild» exploit o Responsible disclosure: o Reported directly to the vendor o Risk: the vendor does not quickly patch o Hybrid: o To an organization which «buys it» o Resolve conflicts between 2 parties Interesting paper: EMERGING ISSUES IN RESPONSIBLE VULNERABILITY DISCLOSURE, Hasan Cavusoglu. Huseyin Cavusoglu, Srinivasan Raghunathan 57

Coordinated vulnerability disclosure - Hybrid - or Full-Vendor 58

1.3.3. Ethics & IT security o If you find a Windows exploit (with code execution): o Full-vendor: report it to Microsoft o0 Euros o Hybrid: to an organization which o~200 E o Undeground market: $1M o Consequences? o Why do you work in IT security? (beliefs, moral ) 59

2. Divers algorithmes et méthodes o Stéganographie o Shamir s secret sharing o P2P: l algorithme Eigentrust 66

2.1. Stéganographie o L art et la science d écrire des messages masqués, de sorte que seuls l émetteur et le destinataire soupçonnent l existence du message o Confidentiality, discrete (!= cryptography) o Qui utilise la stéganographie? o Armée, Terroristes, o Types: o Pure / null cipher: message caché en clair dans données o Crypto: symétrique ; assymétrique o Eg: Réseau ; Digitale (image, audio, video) ; Texte, Imprimée 67

2.1. Stéganographie o Texte dans du texte. o Eg: WWI PRESIDENT'S EMBARGO RULING SHOULD HAVE IMMEDIATE NOTICE. GRAVE SITUATION AFFECTING INTERNATIONAL LAW. STATEMENT FORESHADOWS RUIN OF MANY NEUTRALS. YELLOW JOURNALS UNIFYING NATIONAL EXCITEMENT IMMENSELY. PRESIDENT'S EMBARGO RULING SHOULD HAVE IMMEDIATE NOTICE. GRAVE SITUATION AFFECTING INTERNATIONAL LAW. STATEMENT FORESHADOWS RUIN OF MANY NEUTRALS. YELLOW JOURNALS UNIFYING NATIONAL EXCITEMENT IMMENSELY. PERSHING SAILS FROM NY JUNE I. Movie: A beautiful mind, 2001 68

o Eg: 2.1. Stéganographie: exemple o Pure / «null cipher»: Données dans image 10010101 00001101 11001001 10010110 00001111 11001010 10011111 00010000 11001011 RGB picture representation o canal SIP (RTP, UDP): oerreur: fréquence, taux, taille d erreur, oaudio: certains bits précis o 101101101 data to hide 10010101 00001100 11001001 10010111 00001110 11001011 10011111 00010000 11001011 picture with hidden data 69

o Concept: o secret m o entre n acteurs 2.2. Partage de secret o au moins t secrets pour reconstruire o Eg: (t=2,n=2) Secret Sharing: o Alice et Bob tout seuls ne peuvent reconstruire le secret excepté s ils coopèrent! SB B SB S SA A SA 70

2.2.1. XOR secret sharing scheme o Trivial t=n: o m o x a = nombre aléatoire, taille m o x b = nombre aléatoire (distinct XA), m o m enc = m XOR x a XOR x b o Secret individuel de A: SA = (x a ; m enc ) o B: SB = (xb ; m enc ) o m = m enc XOR x a XOR x b 71

2.2.2. Shamir s Secret Sharing (t!= n) o Shamir (1979): le «S» dans RSA o Constat: o Polynôme de degré 2 o 2 points non suffisants o 3 oui o k points suffisants pour décrire un polynôme de degré k-1 o Etapes: o Préparation des secrets individuels o Reconstruction du secret m 72

2.2.2. Shamir: construction des secrets o (t=2,n=4) o m=1976 o t-1=1 coefficients choisis au hasard o a1=3 o f(x) = a i *x i ; a 0 =m o f(x) = 1976 + 3x o Choix de n=4 points de cette courbe: o (-2 ; 1970), (3 ; 1985), (0 ; 1976), (-5 ; 1961) o Ce sont les secrets individuels o Le secret m=f(0) 73

2.2.2. Shamir: reconstruction du secret m o En utilisant l interpolation de Lagrange: (-2 ; 1970), (3 ; 1985) L(x) = 1970 * x 3 + 1985 * x- -2-2 3 3 - -2 m = L(0) = 1976 = 1976 + 3x 74

2.2.3. Blakley s Secret Sharing o t hyperplans distincts s intersectent en un unique point m dans un espace de dimension t=n o Construction: (t,n) o Choisir un point m o Equations génériques o Pour chaque participant, choisir des coefficients distincts o Reconstruction m: o Résoudre le système d équations (t=3,n=3) 75

2.3. P2P security: the Eigentrust algorithm o Problèmes: worms, fichiers non authentiques, o Objectif: identifier les peers malicieux o L algorithme Eigentrust a été appliqué par ebay: 76

2.3. The EigenTrust algorithm o i,j peers o Trust value o 1 given download from j to i for a transaction k o tr i (k,j) o -1 if download not authentic, or interrupted o +1 else o Local trust value o Global trust value t(j) = sum i (s i (j)) how we can trust that peers according to its actions in the whole network o Normalized trust value [0..1] c i (j) = max(s i (j),0). max(sum k (si(k)),0) s i (j) = sum k (tr i (k,j)) transactions from j to i, from i point of view The EigenTrust Algorithm for Reputation Management in P2P Networks, Stanford: Sepandar D. Kamvar, Mario T. Schlosser, Hector Garcia-Molina 77

2.3. Eig. Algo: Transmettre la confiance o Chaque peer k demande a ses voisins i son opinion sur les autres pairs a c i (k) o K fait confiance a i en fonction de son expérience avec celui-ci c i (k) o tk(a)=c k (i).c i (a) 78

Iteration 1 Iteration 2 79

2.3. Eigentrust for P2P: convergence Test effectué avec 1000 peers Après 10 itérations les valeurs ne changent pas signficativement CONVERGENCE TRES RAPIDE 80

L algorithme Eigentrust pour l échange de fichiers en P2P o Expérience: 81

3. Sécurité du poste client (endpoint security) o Certification (TCSEC, CC) o Principes de sécurité (rappels) o Principaux méchanismes o Windows NT4+ o Unix 82

3.1. Certification o TCSEC o Critères Communs (Common criteria) o Evolutions 83

3.1.1. Systèmes : Certification TCSEC(1) o S'applique aux systèmes complets (HW+SW) o Orange book : TCSEC (Trusted Computer System Evaluation Criteria) Rainbow series o Décrit le concept de TCB (Trusted Computing Base) et de moniteur de Sécurité (Reference Monitor) 84

3.1.1. Systèmes : Certification TCSEC(2) o Décrit finement les mécanismes d'implémentation o Object Reuse o Audit o Compartment mode o Autres couleurs de l'arc en ciel (Vert = mots de passe, Rouge =Réseau (TNI : Trusted Network Interpretation), etc...) 85

3.1.1. Systèmes : Certification TCSEC(3) o 4 niveaux o D = Insécurité ou non évalué o C = Capable d'assurer un contrôle discrétionnaire (DAC) oc2 = "un bon système commercial" o B = Capable d'assurer un contrôle d'accès obligatoire (MAC) o A = Sécurité vérifiée, documentée et démontrée efficace 86

3.1.2. Systèmes : Certification CC o Critères communs o Norme ISO sous la référence ISO 15408 o Initié par l Europe, agrée par 7 pays: Allemagne, Australie et Nouvelle-Zélande, Canada, Etats-Unis, France, Grande-Bretagne o Une évaluation effectuée dans un pays est reconnue dans les autres o En France, l évaluation est confiée aux CESTI (Centre d'evaluation de la Sécurité des Technologies de l'information) o Eg de CESTI: LEXSI, Sogeti-ESEC o Liste de produits certifiés: http://www.commoncriteriaportal.org/products/ 87

3.1.2. Critères Communs (1) o Exigences o Fonctionnelles de sécurité o Assurance de sécurité o La norme introduit les concepts suivants : o TOE (Target Of Evaluation) : désignation de l'objet à certifier (par exemple un système d exploitation, un réseau informatique, une application, un produit de type firewall) o PP (Protection Profile) : ensemble type d'exigences de sécurité pour une catégorie de produits (plus de 1000 disponibles) o ST (Security Target) : niveau de sécurité spécifique souhaité pour le produit à évaluer : description des menaces et des objectifs de sécurité du produit à certifier o les Composants : les ensembles élémentaires d'exigences de sécurité : composants fonctionnels (exigences fonctionnelles) et composants d'assurance (garanties apportées) 88

3.1.2. Critères Communs (2) o La certification propose 7 niveaux d assurance de l évaluation - EAL (Evaluation Assurance Level) : o EAL1 à EAL4 : qui correspondent à des systèmes courants de bonne qualité et à la mise en œuvre de bonnes pratiques. o EAL5 à EAL7 : qui correspondent à des systèmes conçus avec une démarche et des méthodes de sécurisation particulièrement poussées. o EAL7 : répond notamment à des problématiques de stratégie nationale de sécurité. 89

3.1.2. Critères Communs (3) o EAL1 : testé fonctionnellement. o EAL2 : testé structurellement o EAL3 : testé et vérifié méthodiquement. o EAL4 : conçu, testé et vérifié méthodiquement. o Eg: Windows Vista, Server 2008 o EAL5 : conçu de façon semi-formelle et testé. o EAL6 : conception vérifiée de façon semi-formelle et testé. o EAL7 : conception vérifiée de façon formelle et testé. 90

3.1.3. Evolutions o Uniformisation des certifications o Common Criteria ostandard ISO 15408 oreconnu mondialement o Résistance à l effraction (Tamper Resistance) o Systèmes exposés oles intérêts de l'utilisateur peuvent rentrer en conflit avec l'exploitant (eg: confidentialité, PII Personal Identification Information) o FIPS (Federal Information Processing Standards), ITSEC 91

3.2. Principes généraux (rappel) o Méfiance par défaut o Défense en profondeur o Moindre privilège o Réduction de la surface d attaque o Bonne gestion o Multiculture Source: Pascal Saulière, Architecte, CISSP, Microsoft 92

3.2.1. Méfiance par défaut o Absence de confiance sans fait ni preuve o Problème: complexité croissante SI => minimum de confiance quasi-nécessaire o Eg: okerberos, on truste le KDC opki, on truste la/les root CA 93

3.2.2. Défense en profondeur (in-depth protection) o Protections sur différentes couches: o Postulat que les couches d en dessous peuvent être défaillantes Chiffrement, Contrôle d accès Durcissement app., antimalware Durcissement OS, authentification, HIDS, isolation cryptographique Segmentation réseau, NIDS, chiffrement Pare-feu, Contrôle d accès Sécurité physique Politiques, procédures, sensibilisation Gardiens, serrures, surveillance Documentation, formations utilisateurs 94

3.2.3. Moindre privilège (least privilege) o Ne jamais utiliser plus de privilèges que nécessaire o Eg: pour contrôle d accès, pour lire un fichier, pas besoin de droit d écriture o Eg: pour naviguer sur internet, pas besoin de privilèges administrateur/root 95

3.2.4. Réduction de la surface d attaque o Surface d attaque = ensemble des propriétés utilisables par un attaquant (eg: réseau=ports ouverts, mécanismes d authentification, services en exécution, privilèges, permissions sur fichiers ) o Objectif: avoir la surface d attaque la plus faible possible o Eg: o Services exécutés sous identité aux privilèges réduits o Services non nécessaires désactivés o Paramétrage fin (pas les paramètres par défaut) 96

3.2.5. Bonne gestion & multiculture o Bonne gestion o Pour être sécurisé, un SI doit être bien géré: oprocédures oformations administrateurs oefficience d administration o Multiculture o Multiples technologies. En cas de défaillance/vulnérabilité dans une, un attaquant doit mettre en défaut au moins une seconde o Eg: opare-feux deux niveaux, deux vendeurs distincts 97

3.3. Principaux méchanismes o Que protéger? o Trusted Base Computing o Authentification o Isolation o Quelques systèmes clients 98

3.3.1. Client - Que protéger? (1) o Parent pauvre de la chaîne de sécurité o Postulat que le client est sûr o Vulnérabilités ocache (tous niveaux) osystèmes de fichiers o Une fois authentifié, l'utilisateur et le client sont liés o Melissa, Loveletter 99

3.3.1. Que protéger? (2) o Que protéger? o Le "boot" o L'accès au matériel o L'accès aux ressources contaminatrices omedia mobiles oports extérieurs de type «Hot Plug» o La configuration des attributs de Securite oconfiguration BIOS o La plate-forme elle-même (vol) 100

3.3.1. Protéger l accès au matériel o Eg: Compromission physique par le bus PCI (Christophe Devine & Guillaume Vissian, SSTIC, 2009) o http://www.sstic.org/2009/presentation/compromission_physique_par_le_bus_pci/ o PCI: accès à toute zone de la RAM en R/W o Démo: authentification sous l utilisateur loggué sans connaître son mot de passe 101

3.3.2. Trusted Base Computing o TCPA o Confiance transitive o TPM o Conséquences? 102

3.3.2.1. TCPA o Trusted Computing Platform Alliance o Consortium 2003 o Both HW+SW: HP, Microsoft, AMD, Intel, IBM o Chez HP, Dominique Vicard a largement participé à ce projet o Objectif: mise en place d un Trusted Platform Module o Microsoft: Next-Generation Secure Computing Base, utilisation dans Windows 103

3.3.2.2. Confiance transitive Confiance transitive: BIOS => Bootloader => OS => Application S il y a un problème dans la première couche (eg: BIOS), toutes celles après (eg: bootloader, OS ) sont potentiellement compromises CRTM : core root of trust for measurement TBB : Trusted Building blocks 106

3.3.2.3. Structure d un Trusted Platform Module (v 1.1) TPM: Génération rapide de nombre aléatoire crypto-processeur sécurisé séquestre de clés cryptographiques 107

3.3.2.4. Conséquences o Authentification pré-boot: o Matériel o Boot-loader o Chiffrement (partition, fichiers) o Signature de binaires... et vérification de leur intégrité! o Utilisation: o PC récents avec Windows Vista et ultérieur 108

3.3.3. Authentification o Identification o Authentification o Dépend du système d'exploitation o Peut être enrichie par l'ajout d'un moyen d'authentification forte o Deux ou trois facteurs 109

3.3.4. Isolation o Capacité à séparer les données et leur traitement o Isolation temporelle o Isolation spatiale (accès physique) o Ségrégation des espaces mémoire et des processus (kernel/user, différents utilisateurs) o Isolation cryptographique (clés, messages) o Restriction de privilèges 110

3.3.5. Quelques systèmes clients o L histoire: Dos, Win 9x o Clients lourds classiques o Clients légers & full web 111

3.3.5.1. L histoire : Dos, Win9x o Pas de sécurité lie au système de fichier o Pas de séparation User/Data o Accès direct possible aux ressources matérielles o Sensibilité aux Virus et Chevaux-de-Troie o Grande standardisation o CIH o Pas ou peu de contrôle des process o En voie de disparition (ouf) 113

3.3.5.2. Clients lourds classiques : NT, Win2000, XP, Vista, Seven, Snow Leopard et Unix (dépend de la distribution) o Tous ces OS ont des versions certifiées EAL3 ou C2 o Séparation Utilisateur / Données o Poste de travaille partageable o Client identifié comme client réseau o Chiffrement de session utilisateur o Pour la plupart: Protections mémoire (DEP, ALSR) 114

3.3.5.3. Clients légers & full web o Clients fins o Quelquefois sans fichiers locaux o Windows Mobile, PPC, PalmOs, Symbian, OS+Citrix; Terminal Services client (RDP, Microsoft) o Chrome OS: synchronisé sur le cloud de Google o Client réseaux o Boot à distance (remote boot) o Java Virtual Machine 115

3.4. Microsoft Windows NT4+ o Authentication o Access control o Auditing o Divers: partitions de sécurité o NT6 (Vista & 7): quelques nouveautés 126

3.4.1. Authentification o Security IDentifier o Référentiel d identité o Authentification o Politique de mot de passe o Protection des données 127

3.4.1.1. Security Identifier (SID) o Windows NT: o Chaque security principal possède un SID l identifiant de maniere unique dans une foret (famille de domaine) / ordinateur o SID = référentiel d identité ; domaine ; identité o Security principal: oordinateur ocontrolleur de domaine outilisateur / Service ogroupe de sécurité (un groupe peut contenir tout objet de sécurité) 128

3.4.1.1. Authentication - SID - exemple Security group Tous les employes Security group Audit User object CN=Samir 129

3.4.1.1. SID en bref (non exhaustif) S-1-5-21-1679959503-1445791782-2229217306-1109 Niveau de révision 4 bits Valeur : 1 Autorité, 48 bits 0 = null 1 = world 2 = local 3 = creator owner 4 = non unique 5 = NT Sous-autorités (=RID) SID du domaine / de la machine RID du compte 500 = Administrator 501 = Guest 1000 = user1 1001 = user2 Exemples : 0 = null 0 = world 0 = creator owner 1 = creator group 2 = creator owner server 3 = creator group server Exemples de well known SIDs : S-1-0-0: Null S-1-1-0: Everyone S-1-2-0: Local S-1-3-0: Creator Owner S-1-3-1: Creator Group S-1-5-1: Dialup S-1-5-2: Network S-1-5-3: Batch S-1-5-4: Interactive S-1-5-5-X-Y : Logon Session S-1-5-6: Service S-1-5-7: Anonymous Logon S-1-5-9: Enterprise Domain Controlers S-1-5-10: Self S-1-5-11: Authenticated Users S-1-5-12: Restricted S-1-5-13: Terminal Server User S-1-5-14: Remote Interactive Logon S-1-5-18: System (LocalSystem) S-1-5-19: Local Service S-1-5-20: Network Service 130

3.4.1.2. Référentiels d identité o Chaque: o Domaine (~annuaire LDAP + auth. Kerberos) o Machine o Dispose d une base contenant la liste des security principals (donc de leur SID) reconnus dans le référentiel 131

3.4.1.3. Authentification o Condensé / hash de mot de passe: o NTLMv1, NTLMv2 o Kerberos o SSPI: permet à des applications d établir un canal sécurisé Winlogon Application GINA SSPI API authentification : SSPI API carte à puce : PC/SC API biométrie : BioApi Package d authentification LSA Negotiate SSP SSP Schannel SSP SSP Digest NTLM Kerberos Windows XP 132

3.4.1.4. Politique de mot de passe 136

3.4.1.5. Protection des données o ACL o Chiffrement o de partition:bitlocker, TrueCrypt o de fichiers / session: EFS (certificats) ocryptoapi o Clé o Certificats o Contexte (CSP) o Génération de Clé o Échange de clé o Chiffrement et déchiffrement o Signature et Hash o Encodage et décodage des certificats o Stockage des certificats o Communes o Chiffrement/Déchiffr ement o Signature de messages o Vérification de données et de signatures 137

3.4.2. Access control o Discretionary Access Control: système de fichiers NTFS o Vérifié par le Security Reference Monitor (NT Kernel) o Deny est préemptif sur Allow! o Fichiers o Privilèges (voir slide suivante) 138

3.4.2. Access control - privileges 139

3.4.3. Audit (liste non exhaustive) o Système o Authentification (réussie, échec ) o Modification de security principal o Modification politique de sécurité o Démarrage, arrêt: système, services.. o Erreurs o Fichier, objet o Accès, lecture, écriture, exécution o Sur descripteur de ressource (fichier, dossier, ) o Evènements remontés par applications 147