C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007
Pourquoi la sécurité? Le bon fonctionnement d un ordinateur en réseau signifie : 1. fiabilité des logiciels et matériels, 2. performance et disponibilité du service 3. bonne protection des informations : confidentialité et intégrité 4. confiance dans l'identité des «correspondants» Cela nécessite moyens matériels et surtout humains : Maintenance du matériel Mise à jour des logiciels Surveillance analyse des «logs» fichiers de traces etc. passage régulier d'outils de vérification d'intégrité des systèmes vérification régulière de la «solidité» des mots de passe formation des utilisateurs 2
RISQUES 6 «malveillants» pour 10 000 utilisateurs destruction ou corruption d'information déni de service «vol» d'informations confidentielles : modifications de données rebond et usurpation d'identité 3
RISQUES destruction ou corruption d'information déni de service «vol» d'informations confidentielles modifications de données rebond et usurpation d'identité 4
Destruction ou corruption d informations (1/9) Programmes malveillants Virus Ver Cheval de Troie Porte dérobée Logiciel espion Sniffer et enregistreur de frappe Exploit Rootkit 5
Destruction ou corruption d informations (2/9) Virus logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet de perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'internet, mais aussi disquettes, les cédéroms, les clefs USB, etc. Plus de 100 000 virus connus Surtout Windows 6
Destruction ou corruption d informations (3/9) Types de virus Virus classique Virus de boot Macro-virus Virus-ver Caractéristiques communes Cryptage Polymorphisme Metamorphisme furtivité 7
Destruction ou corruption d informations (4/9) Ver logiciel malveillant qui se reproduit sur des ordinateurs à l'aide d'un réseau informatique (local ou internet). Un ver, contrairement à un virus informatique, se reproduit sans programme hôte en exploitant les différentes ressources système. Son véritable but peut aller au delà de la simple reproduction : espionner, installer une porte dérobée, détruire des données, envoi de multiples requêtes vers un site internet pour le saturer, etc. Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, ralentissement du réseau, plantage de services ou du système, etc. Des vers écrits sous forme de script peuvent être intégrés dans un courriel ou sur une page HTML sur internet. Ils sont activés par les actions de l'utilisateur qui croit accéder à des informations lui étant destinées. 8
Destruction ou corruption Cheval de Troie d informations (5/9) Programme malveillant d apparence anodine Ce n est pas un virus informatique car il ne se duplique pas par lui-même. Il est conçu pour être dupliqué par des utilisateurs naïfs, attirés par les fonctionnalités vantées. Ils servent fréquemment à introduire une porte dérobée sur un ordinateur : un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l'ordinateur. 9
Destruction ou corruption d informations (6/9) Porte dérobée (backdoor) Fonctionnalité secrète d un logiciel permettant de surveiller ou de prendre le contrôle d un ordinateur 10
Destruction ou corruption d informations (7/9) Espions, sniffers.. logiciels malveillants qui s'installent dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur n'en ait connaissance. L'essor de ce type de logiciel est associé à celui d'internet, qui lui sert de moyen de transmission de données. Le sniffer est un espion particulier dont le but est de récupérer les données circulant sur un réseau (coordonnées bancaires, mots de passe ) 11
Destruction ou corruption d informations (8/9) Exploit et rootkit un exploit est un programme permettant à un individu d'exploiter une faille de sécurité informatique dans un système d'exploitation que ce soit à distance (remote exploit) ou sur la machine sur laquelle cet exploit est exécuté (local exploit). Un rootkit est un ensemble de programmes permettant d installer sur un système des logiciels malveillants et de les rendre difficilement detectables 12
Destruction ou corruption d informations (9/9) La malveillance n est pas la seule cause Risques humains Maladresse Ignorance, inconscience Risques techniques Incidents matériels Incidents logiciels Incidents liés à l environnement 13
RISQUES 6 «malveillants» pour 10 000 utilisateurs destruction ou corruption d'information déni de service «vol» d'informations confidentielles : questions d examen, projets de recherche, mots de passe, coordonnées bancaires modifications de données : notes d examen rebond et usurpation d'identité 14
Déni de service Vise à rendre une application informatique (serveur web par ex.) incapable de répondre aux requêtes des utilisateurs Déni par saturation Déni par saturation distribuée Exemples d attaques Attaques de sites web (Microsoft, Google ) Attaques de serveurs DNS en 2002 le spam s apparente au déni de service 15
RISQUES 6 «malveillants» pour 10 000 utilisateurs destruction ou corruption d'information déni de service «vol» d'informations confidentielles modifications de données rebond et usurpation d'identité 16
Vol d informations confidentielles (1) tactiques possibles pour le pirate Obtention du contrôle de l ordinateur attaqué Trou de sécurité du logiciel Usurpation d identité («spoofing») Obtention des informations de façon détournée («Phishing» ou hameçonnage) 17
Vol d informations confidentielles (2) Contrôle de l ordinateur attaqué Obtenir le mot de passe de l administrateur (root) Vol simple Attaque par dictionnaire Attaque par force brute Installation de «sniffers» ou de «rootkits» 18
Vol d informations confidentielles (3) Trou de sécurité du logiciel ou du système d exploitation Fréquents dans la majorité des logiciels ou SE Identifié par un pirate, il donne souvent lieu à la création et à la diffusion d un «exploit» Il permet souvent l accès complet à la machine et tout acte malveillant possible 19
Vol d informations confidentielles (4) Usurpation d identité Soit vol d identifiants et de mots de passe Soit usurpation d adresse réseau (spoofing) ARP spoofing en réseau local IP spoofing sur internet 20
Vol d informations confidentielles (5) Obtention des informations de façon détournée Phishing (password harvesting fishing) ou hameçonnage : généralement utilisé pour voler de l'argent. cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères. Typiquement, des messages semblant émaner d'une société digne de confiance sont envoyés à de nombreux internautes. Ils sont formulés de manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence, par exemple en indiquant à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées. 21
Mentions légales L'ensemble de ce document relève des législations française et internationale sur le droit d'auteur et la propriété intellectuelle. Tous les droits de reproduction de tout ou partie sont réservés pour les textes ainsi que pour l'ensemble des documents iconographiques, photographiques, vidéos et sonores. Ce document est interdit à la vente ou à la location. Sa diffusion, duplication, mise à disposition du public (sous quelque forme ou support que ce soit), mise en réseau, partielles ou totales, sont strictement réservées au Ministère de l éducation nationale - projet C2i métiers de la Santé. L utilisation de ce document est strictement réservée à l usage privé des étudiants inscrits à l UFR de médecine, de pharmacie et odontologie des universités impliqués dans le C2i métiers de la santé, et non destinée à une utilisation collective, gratuite ou payante. Ce document a été réalisé pour le projet C2i Niveau 2 métiers de la Santé - Ministère de l éducation nationale. 22