Vous êtes sur la page 1sur 32

Edited by Foxit PDF Editor

Copyright (c) by Foxit Software Company


For Evaluation Only.

Introduction à la Sécurité informatique

Kaouthar Sethom Ben Reguiga

Introduction à la Sécurité informatique


Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
Introduction For Evaluation Only.

Système d’information (définition)

Le système d’information comprend les matériels


informatiques et les équipements périphériques, les logiciels
et microprogrammes, les algorithmes et spécifications
internes aux programmes, la documentation, les moyens de
transmission, les procédures, les données et les informations
qui sont collectées, gardées, traitées, recherchées ou
transmises par ces moyens ainsi que les ressources humaines
qui les mettent en oeuvre.

Sécurité des Systèmes d’Information


Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
Introduction For Evaluation Only.

L’information numérique est vulnérable

peut être détruite, amputée, falsifiée, modifiée


pas d’original, ni de copies mais des clones où la reproduction
est à l’identique

L’information numérique est volatile

peut être ajustée, personnalisée


un document générique peut être particularisé pour un
destinataire spécifique
un logiciel général peut être ajusté selon le contexte ou ciblé
selon un usage spécifique
Qu’est-ce que la sécurité

D’un premier point de vue :


s’assurer que rien de “mauvais” arrive
réduire les chances que quelque chose de “mauvais” se
produise
minimiser l’impact des “mauvaises choses”
fournir les éléments nécessaires pour se remettre des
“mauvaises choses”
D’un autre point de vue :
autoriser les “bonnes choses” à arriver
gestion du coût du système
Exemples :
sécurité de la maison
sécurité de la voiture

Introduction à la Sécurité informatique


Security Challenges

sécuriser une variété de systèmes différents


sécuriser les interfaces entre différents systèmes
besoins et buts de sécurité différents
rentabiliser le maintien du système
les sécuritaires doivent protéger tous les liens du système
l’attaquant cherche la plus faible liaison dans le système
garder les coûts de sécurité sous contrôle

Introduction à la Sécurité informatique


Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
For Evaluation Only.

:
Menaces et Attaques

accès non autorisés


perte d’intégrité du système
déni de service
virus informatique
cheval de Troie
perte d’informations
fuite de données
manipulation de données
fraude de données
vol de données
destruction de données
manipulation de programmes

Introduction à la Sécurité informatique


Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
For Evaluation Only.
Quelques brèches de sécurité

En 1988, l’attaque “worm” menée par l’étudiant de


Cornell, Robbert Morris Jr., a infecté des milliers
d’ordinateurs, causant leur arrêt.
En 1994, une fraude de 10,4 millions de dollars menée par
un groupe russe contre la Citybank.
En 1996, les pages web de la USA DOJ et de la CIA ont
été modifiées par des vandales.
dans les années 2000, des millions d’attaques sur les
gouvernements, sociétés, instituts financiers, ... chaque
année (la plupart sont irrésolues et non mentionnées).

Introduction à la Sécurité informatique


Ecoute et packet sniffing (analyseur de réseau)

Description : acquérir de l’information sans la changer


Moyens : packet sniffers, routeurs, capture et filtrage de
paquets
Menaces : Sniffing peut être utilisé pour récupérer diverses
informations envoyées sur le réseau
login + password
numéro de carte de crédit
mails et autres messages
analyses de trafic

Introduction à la Sécurité informatique


Snooping (fouineur)

Description : acquérir de l’information sans la modifier


Moyens : examiner des documents contenus dans le disque
ou la mémoire principale
utilisation de privilèges légitimes (inités)
piratage informatique de système (exclus)
vol d’ordinateurs portables
contrôle des frappes clavier
observation du temps d’information (canal secret)
Menaces :
obtenir des informations sensibles (fichiers contenant des
numéros de carte de crédit)
retrouver les mots de passe, les clés secrètes, etc.

Introduction à la Sécurité informatique


Falsification

Description : modification ou destruction de données


stockées
Moyens : les initiés utilisent à mauvais escient les privilèges
et les exclus font irruption dans le système
Menaces :
changer les archives, les catégories scolaires, les dettes (13
million de fraude sur les dettes à NY)
effacer des protocoles d’audit
cheval de Troie pour obtenir le mot de passe, et d’autres
utilisations

Introduction à la Sécurité informatique


Spoofing (parodie)

Description : se faire passer pour d’autres utilisateurs ou


ordinateurs afin d’obtenir des privilèges
Moyens :
vol de compte, deviner le mot de passe, ingénierie sociale
IP spoofing : contrefaire des e-mails, fausse adresse IP,
détournement des connections IP
Menaces :
messages contrefaits (“l’annulation de l’examen” de
Dartmouth)
déni de service (attaques IP, attaque SIN, Ping-of-Death)
information sniffing (attaque “WWW Spoofing” de
Princeton)

Introduction à la Sécurité informatique


Brouillage

Description : mise hors service d’un système ou d’un service


Moyens : engagement d’hôte dans de nombreuses activités
(légitimes) jusqu’à épuisement de ses ressources ; spoofing
retourne des adresses pour éviter les traces
Menaces :
consommer toutes les ressources des machines attaquées, par
exemple, mémoire (attaque SYN), disque (attaque d’e-mail)
exploiter les bugs pour arreter les hôtes (ping-of-death)

Introduction à la Sécurité informatique


Injection de code

Description : injection de code malveillant pour exécuter


sur l’hôte avec de hauts privilèges et infecter d’autres hôtes.
Moyens :
virus : attachés à l’exécutable, étendu par des CD infectés,
fichiers joints à un e-mail.
ver : dupliquer sur internet
Menaces :
toutes ...

Introduction à la Sécurité informatique


Le virus Melissa

sur les e-mails, menée vers fin mars 1999


Sujet : Important Message From < name >
Corps :
Here is that document you asked for . . . don0 t show anyone else ; −)+
ensemble de liens pornographiques
Piéces jointes : fichier word avec des macros infectés
registres eux-mêmes, pour éviter la duplication
modifier le fichier Normal.dot
envoyer des e-mails aux 50 premières adresses du carnet
d’adresses ¿Outlook
quand la date+mois coı̈ncide avec heure+minutes, insérer
“twenty-two points, plus triple-word-score, plus fifty points
for using all my letters. Game’s over. I’m outa here.”
Impact : en moins de 3 jours, plus de 100,000 hôtes.
Certains devant éteindre à cause de la taille des e-mails.

Introduction à la Sécurité informatique


Défauts d’exploitation

exploiter la vulnérabilité des logiciels pour pénétrer les


systèmes
buffer overflow (par ex, internet worm, web site apps)
défaut des codes de sécurité mobiles (java, ActiveX)
mauvaise ergonomie (logins des administrateurs Unix,
sendmail)
La connaissance s’étend plus rapidement que le remède
bulletins de piratage informatique
Conseils
des kits de logiciels publiquement disponibles pour détecter
des vulnérabilités connues, par ex. SATAN, ISS
mais ils ne sont pas toujours aisément suivis et sont
souvant utilisés à l’avantage des pirates informatiques
des kits de piratage disponibles publiquement sur le net, par
ex. RootKit (Unix)

Introduction à la Sécurité informatique


Password and key cracking

Deviner : noms des membres de la famille, numéros de


téléphone, etc.
Attaque par dictionnaire : recherche systématique
Crack : attaque par dictionnaire étendue avec des modèles
communs
le craquage est maintenant utilisé par les administrateurs
système et les programmes de mots de passe
Recherche exhaustive :
outils de cryptanalyse se développent continuellement
internet fournit une ressource massive de calcul parallèle
cryptanalyse, mauvais générateurs, analyse du temps
Kocher : découvrir la clé au moment où elle est utilisée pour
chiffrer
craquage de cartes à puce par injection de fautes

Introduction à la Sécurité informatique


Ingénierie sociale

Spoofing un “système réél” :


écran d’identification
numéros de téléphone
histoire des DAB (distri auto billet)
Spoofing un “service” :
vol de cartes de crédit et de codes PIN
vol de mots de passe
Attaque de l’homme du milieu :
impression spéciale de journaux
routeur, tableau d’affichage, etc.

Introduction à la Sécurité informatique


Hackers - Qui sont-ils ?
Chercheurs académiques :
universités et laboratoires de recherche
développement et analyse de système
Consultant hackers :
employés par les compagnies pour identifier les failles des
systèmes
Hackers indépendants :
travaillent individuellement pour identifier les failles des
systèmes
leurs motivations sont sociales ou personnelles
Hackers criminels :
de l’autre côtè de la loi
leurs motivations sont essentiellement financières ou
politiques
Hackers amateurs :
obtention des outils et des codes (internet, hackers
professionnels)
non professionnels (ils laissent des traces)
Introduction à la Sécurité informatique
Piratage politique Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
For Evaluation Only.

Motivations :
raisons politiques
espionnage industriel
espionnage militaire
information de guerre
Ressources :
quasi illimitées
Risque :
dépend du pays

Introduction à la Sécurité informatique


Piratage commercial

Motivations :
obtenir des avantages d’affaire
causer des pertes directes ou indirectes
Ressources :
limitées par le gain potentiel
Risque :
poursuite légale
Exemples :
changement d’ingénierie, rupture de service

Introduction à la Sécurité informatique


Piratage financier

Motivations :
gain monétaire
vol de ressources
Ressources :
individus isolés (faibles ressources mais ils ont des
compétences)
crime organisé (ressources financières abondantes)
Risque :
individus ciblés ou organisations
considéré pour être bas
Exemples :
téléphone, tv, sites web, numéro de CB

Introduction à la Sécurité informatique


Piratage individuel

Motivations :
employés mécontents
curiosité
challenge intellectuel
vandales
Ressources :
ressources rares
grande communauté
Risque :
erreurs non voulues
quasi aucun mais aux frontières de la loi

Introduction à la Sécurité informatique


Sources d’informations des pirates

groupes :
alt.2600
Cult of Dead Cow (CDC)
Magazines :
Phrack
sites web
Conférences :
DefCon
CERT :
Computer Response Emergency Team newsgroups

Introduction à la Sécurité informatique


Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
For Evaluation Only.

Mise en place d’une politique de sécurité (PSI)

liens sensibles
menaces
impacts
mesures à adopter

55% des entreprises sont dotèes dune PSI (source : rapport


CLUSIF 2008)
Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
For Evaluation Only.

Mise en oeuvre d’une politique de sécurité :


système d’authentification (biométrie, serveur d’authentification , · · · )
chiffrement (PKI, mécanismes intégrés à des protocoles de
communication (IPsec), · · · )
pare feux (firewall)
système anti-virus
outil de détection de failles de sécurité
système de détection d’intrusions
système d’exploitation sécurisé
···

Odile PAPINI
Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
For Evaluation Only.
Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
Les normes ISO 17799, ISO 27002
For Evaluation Only.

Normes internationales concernant la sécurité de


l’information les plus récentes

norme ISO 17799 : différentes versions


norme ISO 17799 : 2005 de juin 2005 à juin 2007
norme ISO 27002 depuis juillet 2007
Titre de la norme ISO 27002 :
Code de bonnes pratiques pour la gestion de la sécurité
l’information
http ://www.iso.org/iso/iso catalogue/catalogue tc/
catalogue detail.htm ?csnumber=39612
Edited by Foxit PDF Editor
Copyright (c) by Foxit Software Company
Les normes ISO 17799, ISO 27002
For Evaluation Only.

Sécurité

Que protéger ? Liste des biens à protéger

De quoi les protéger ? Liste des menaces

Quels sont les risques ? Liste des impacts et probabilités

Comment protéger
Liste des contre-mesures
l’entreprise ?
Lectures recommandées

Sécurité en général :
“The NSA Guide to Enterprise Security : Protecting
Information Assets”, Michel Kabay, McGraw Hill, 1996
“Practical Unix and Internet Security”, Simson Garfinkel
and Gene Spafford, O’Reilly and Associates, 1996
“Security engineering : a Guide to Building Dependable
Distributed Systems”, Ross Anderson, John Willey and
Sons, 2001
“Firewalls and internet security”, William Cheswick and
Steven Bellovin, Adison Wesley, 1994 (and 2003)
“Web Security Sourcebook”, Aviel Rubin, Daniel Geer, and
Marcus Ranum, John Willey and sons, 1997

Introduction à la Sécurité informatique


Lectures recommandées

Systèmes et protocoles :
“Understanding Public Key Infrastructure : Concepts,
Standards, and Deployement Considerations”, Carlisle
Adams and Steve Lloyd, New Riders, 1999
“Practical Unix and Internet Security”, Simson Garfinkel
and Gene Spafford, O’Reilly and Associates, 1996
“IPSEC : The New Security Standard for the Internet,
Intranets, and Virtual Private Networks”, Naganand
Doraswamy and Dan Harkins, Prentice Hall, 1999
“SSL and TLS : Designing and Building Secure Systems”,
Eric Rescorla, Addison Wesley, 2001

Introduction à la Sécurité informatique