Vous êtes sur la page 1sur 108

Sécurité des Systèmes

d’Informations
Rudolf Pareti
Introduction
 Les systèmes informatiques sont au cœur
des systèmes d´information.
 Ils sont devenus la cible de ceux qui
convoitent l’information.
 Assurer la sécurité de l’information
implique d’assurer la sécurité des
systèmes informatiques.
Sécurité des systèmes d’information

 Pourquoi mettre en place des méthodes


si les bureaux ou les poubelles sont
accessibles facilement ?
Solutions à mettre en oeuvre

4
Enjeux
des chiffres…
 12 minutes : temps de survie d’un PC sur le net
 50132$ : perte moyenne d’un entreprise ayant subit
une attaque virale
 506670$ : pertes moyennes dues aux incidents de
sécurité sur un an.
 22 milliards : pertes en 2005 dues au spams aux USA
 26 milliards : le ver Mydoom
 105 milliards : gains illicites liés à la cybercriminalité
 1,1 milliards : marché de la sécurité
 4,4 milliards : marché des antivirus

5
Plusieurs niveaux de solutions

6
Types de risques
 Accidents et pannes (impondérables)
◦ 1/6ème
 Erreurs (saisies, conception, transmission,
réalisation)
◦ 1/6ème
 Malveillances (volontaires)
◦ 2/3 des risques
45% des Entreprises mettent en place une
politique de sécurité (par prestataire)
objectifs
 Disponibilité
◦ Continuité du fonctionnement
◦ Respect des performances
 Intégrité
◦ Ni erreur ni falsification
◦ Sauvegarde
◦ Unicité de la représentation
 Confidentialité
◦ Accès suivant autorisations
Qui gère les risques ? Contraignant ?
Risques et menaces 1/2
Physiques
 Dommages (bris de machines, coup de
pieds, café, boisson sucré, dégât des
eaux…)
◦ Incendie (8/10/2008 Banque Populaire)
◦ Incendie (ailleurs) 200 000€ en direct, 2,5
milliards en indirect.
◦ Climatisation : plusieurs millions par an
◦ Employé licencié, destruction manuelle des
sauvegarde : plusieurs dizaines de millions…
Introduction
Origine des attaques
Objectifs
Cinq principaux objectifs à garantir:

 Intégrité
 Confidentialité
 Disponibilité
 Non-répudiation (Certificats numériques)
 Authentification
Evolution des risques

 Croissance de l'Internet
 Croissance des attaques
 Failles des technologies
 Failles des configurations
 Failles des politiques de sécurité
 Changement de profil des pirates
Qui sont les pirates ?
• Peut être n'importe qui avec l'évolution et la
vulgarisation des connaissances.
• Beaucoup d'outils sont disponibles sur Internet.
• Vocabulaire:
– "script kiddies"
– "hacktiviste "
– "hackers"
– "white hats "
– "black hats "
– "cracker "
– "carder "
– "phreaker"
Phénomènes
 Techniques
◦ Explosion de la technologie des transferts de données.
◦ Grande complexité des architectures de systèmes.
◦ Ouverture (pas toujours maîtrisée) des réseaux de
communication.
 Organisationnels
◦ Besoin de plus en plus d'informations.
◦ Grande diversité dans la nature des informations :
 données financières
 données techniques
 données médicales
 …
◦ Ces données constituent les biens de l'entreprise et
peuvent être très convoitées.
Objectifs des attaques
 Désinformer.
 Empêcher l'accès à une ressource.
 Prendre le contrôle d'une ressource.
 Récupérer de l'information présente sur
le système.
 Utiliser le système compromis pour
rebondir.
 Constituer un réseau de « botnet » (ou
réseau de machines zombies).
Les Botnets
• Estimation: une machine sur quatre fait partie d’un botnet, soit environ 154 millions de
machines (Vinton Cerf à Davos en janvier 2007).
• Un botnet peut être utilisé pour:
– Envoyer du spam
– Vol d’informations sensibles (avec un keylogger par exemple).
– Installer des spywares.
– Paralyser un réseau en déni de services
– Installer un site web malicieux (phishing)
– Truquer les statistiques de sites webs (sondage en lignes authentifiés par des adresses IP,
– rémunération sur des clics de bannières,…)
– …
• Quelques exemples:
• – Jeanson James Ancheta, condamné en 2006 à 57 mois de prison ferme et trois ans de
libertés surveillées, à la tête d’un botnet estimé à 400 000 machines.
• Pirate connu sous le pseudo de « 0x80 ». Lire l’article:
• http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html
Les Chiffres Symantec 2009

 20 000 botnets. Certains ne comptent que quelques


machines, d’autres des centaines de milliers.
 100€ Le prix moyen d’une journée de location d’un
botnet pour mener une attaque contre un site web
 100 000 000 de machines Zombies, soumises à un
botnet
 3 000 000 de Gigaflops de puissance de calcul de
toutes les machines zombies du botnet kido
 30 000 spams que peut engendrer le botnet Grum
chaque minute, soit 40 milliards par jour
 1 300 000 machines dans le plus gros botnet Rustok
Motivations des attaques
 Vol d’informations
 Cupidité
 Modifications d’informations
 Vengeance/rancune
 Politique/religion
 Défis intellectuels
Niveaux de sécurisation
 Sensibilisation des utilisateurs aux
problèmes de sécurité.
 Sécurisation des données, des
applications, des systèmes d'exploitation.
 Sécurisation des télécommunications.
 Sécurisation physiques du matériel et des
accès.
Politiques de sécurité
 Compromis sécurité - fonctionnalité.
 Identifier les risques et leurs conséquences.
 Elaborer des règles et des procédures à
mettre en oeuvre pour les risques identifiés.
 Surveillance et veille technologique sur les
vulnérabilités découvertes.
 Actions à entreprendre et personnes à
contacter en cas de détection d'un
problème.
Mise en place d’une politique de
sécurité
 Mise en œuvre
 Audit
 Tests d'intrusion
 Détection d'incidents
 Réactions
 Restauration
Méthode ISO 17799
Les Menaces
 Social Engineering
 MICE (Money, Ideology, Compromise,
Ego)
 Dumpster diving (faire les poubelles)
 Shoulder surfing
 Sniffing
 Scannings
 Réseaux sociaux
 etc.
Le Social Engineering
 La méthode la plus efficace de piratage
 Souvent à la base des grandes
escroqueries
 Phishing
 Les pirates ne sont bridés que par leur
imagination
 Exemples …
Dissimulation d’informations
 L'information peut être dissimulée dans
un but de protection (mot de passe, …)
ou dans des buts moins légaux.
 Différentes méthodes pour s'échanger de
l'information de manière sûre:
◦ chiffrement (symétrique, asymétrique)
◦ Stéganographie
 Tout n'est pas autorisé par la loi.
Stéganographie
 Procédé ancien de
dissimulation
d'informations sensibles
parmi d'autres
informations moins
importantes.

 Exemple: lettre de
George Sand à Alfred
de Musset:
Stéganographie
• Fichiers graphiques ou sons assez adaptés
comme support.
• Cas particulier du watermarking. (tatouage)
• Exemples de logiciels:
– Steganos Security Suite
http://www.steganography.com
– Outguess
http://www.outguess.org
– MP3Stego
http://www.petitcolas.net/fabien/steganography/mp
3stego/
Menaces liées au réseau
• Menaces actives
– Panne, mauvaise utilisation, pertes d'informations
– Contamination (virus, vers, spyware)
– Spam, phishing
– Chevaux de troie (backdoors)
– Dénis de services
– Intrusions
– Bombes logiques
–…
• Menaces passives
– Écoute des lignes
– Analyse de trafic
–…
Virus
• Portion de code inoffensive ou destructrice
capable de se reproduire et de se propager.
• Différents types de virus:
– Virus boot
– Virus dissimulé dans les exécutables
– Macro virus
• Différentes contaminations possibles:
– Échange de disquettes, clés USB …
– Pièces jointes au courrier électronique
– Exécutables récupérés sur Internet
– ...
Vers (worms)
• Proches des virus mais capables de se
propager sur d'autres ordinateurs à travers
le réseau.
• Un moyen courant de propagation: le carnet
d'adresses d'outlook (ex: "I Love you": déni
de service sur les serveurs web).
• Quelques exemples:
– Code Red (utilisation d'une faille des serveurs IIS
et défiguration des sites)
– Blaster (utilisation d'une faille du protocole
windows DCM RPC)
Troyens (trojan)
 Très répandu
 Principe du cadeau empoisonné
 Exemples pour Windows
◦ Back Orifice
Permet de la « remote administration ».
◦ Optix
Permet de la « remote administration ».
Les spywares
• Définition du spyware (http://en.wikipedia.org/wiki/Spyware):
– Un spyware ("espiogiciel") est un logiciel qui collecte des
informations d'une machine et les envoie à l'insu de l'utilisateur
sans son consentement.
• Concept inventé par Microsoft en 1995.
• Quelques chiffres émanant d'une étude du NCSA menée
chez les abonnés d'AOL en octobre 2004:
– 80% des PC étudiés contenaient au moins 1 spyware.
– Un PC héberge en moyenne 93 spywares.
– 90% des personnes interrogées n'ont jamais entendu parler de
spyware.
• Un spyware se décline aujourd'hui en "adware" (logiciel
d'affichage de publicité) et en "malware" ("pourriciel",
logiciels hostiles)
• Les logiciels liés (bundles): installation du spyware
en même temps qu'un logiciel légitime (KaZaA,
codec DivX, …)
• La navigation sur Internet
– exploitation de failles (essentiellement mais pas
uniquement avec Internet Explorer)
– Installation volontaire (par acceptation) d'un logiciel,
activeX, plug-in
• La messagerie incitant par SPAM à visiter des
sites douteux.
• Une exemple particulier: 2 septembre 2008 à
travers le webmail de la Poste
http://www.01net.com/editorial/389835/laposte.net-a-diffuse-involontairement-une-publicite-piegee/
Virus vs Spyware
• Un virus est capable de se reproduire, en général pas
les spywares.
• Un virus s'installe sur une machine à sécurité faible,
un spyware va plutôt inciter un utilisateur naïf ou
ignorant à le télécharger et à l'installer.
• Un virus est destiné à utiliser des ressources de la
machine et peut avoir des actions nocives
(destruction de fichiers, ouverture de "backdoor",…).
Un spyware n'est en principe pas destiné à
endommager une machine.
• Les auteurs de spywares peuvent être rémunérés, ce
n'est bien sûr pas le cas pour un créateur de virus. Le
délai d'apparition d'un spyware après découverte
d'une faille peut donc être très court.
Détection de Spyware
• Comportement anormal de la machine:
– Fenêtres "popup" intempestive.
– Page d'accueil du navigateur modifiée.
– Apparitions d'icônes sur le bureau.
– Connexions à Internet intempestives.
– Trafic réseau anormal.
– Désactivation des outils de sécurité locaux.
• Les outils de sécurité locaux:
– DLL modifiée (détectable par un antivirus).
– Firewall personnel
– Outils anti rootkits
• Les outils de sécurité réseau:
– Connexions récurrentes et/ou nocturnes.
– Téléchargements suspects.
– Connexions vers des sites réputés pour être liés au spyware.
– Connexions vers des sites non référencés dans un dns.
– Connexions vers des sites .ru .cc .tw .cn …
SPAM
• Définition de la CNIL: Envoi massif et parfois répété de
courriers électroniques non sollicités à des personnes avec
lesquelles l’expéditeur n’a jamais eu de contact au préalable, et
dont il a capté l’adresse électronique façon
irrégulière.(pourriel en français).
• SPAM=Spiced Pork And Meat, popularisé par un sketch des
Monty Python (http://www.dailymotion.com/swf/x3a5yl)
• Un message va être déposé dans une liste de serveurs de
courrier; les serveurs abusés vont envoyer une copie à chaque
destinataire.
• Courrier basé sur une liste d’adresses collectées de manière
déloyale et illicite.
• Messages peu coûteux à l’envoi mais coûteux pour le
destinataire.
Le SPAM en chiffre
• 100% : croissance du coût du spam chaque année
• 42 milliards de $ : coût global pour les entreprises au
niveau mondial en 2004, 200 milliards de $ en 2007
• 600 à 1000 $ : coût par an et par salarié
• Plus des 2/3 du volume total et mondial d’e-mails
envoyés
• 85% des spams reçus en France sont rédigés en
langue anglaise (7% en français)
• 60% proviennent des Etats-Unis

Sources : Basex, Radicati Group, Ferris Research, Postini,


CNIL
Protection contre les SPAM
• Ne rien acheter par l’intermédiaire de publicité faite par un spam (des
études indiquent que 29% des utilisateurs le font).

• Ne jamais répondre à un spam.

• Ne pas mettre d’adresses électroniques sur les sites webs mais les
encoder par un script ou dans une image (exemple:
http://www.caspam.org).

• Etre prudent dans le remplissage de formulaires demandant des adresses


électroniques; on peut parfois utiliser des adresses « jetables ». Exemple:

• http://www.jetable.org (adresse valable d’une heure à un mois).

• Protection au niveau du client de messagerie (gestion des "indésirables") .


Protection contre les SPAM
• Protection délicate: la frontière entre un courriel et
un pourriel n’est pas toujours franche et il ne faut pas
rejeter des courriers réels.
• Un serveur de courrier doit être bien configuré (en
particulier, pas « d’Open Relay ».
• Gestion de listes blanches.
• Gestion de listes noires:
– Manuellement
– Par utilisation de bases de données de relais ouverts
• Gestion de listes grises.
• Des outils de filtrage en aval:
– spam assassin
– pure message (sophos)
Phishing
• Contraction de PHreaking et fISHING (Hameçonnage).
• Technique d'ingénierie sociale utilisée par des
arnaqueurs (scammers)
• Technique ancienne mais utilisée massivement depuis
2003.
• Par le biais de courrier électronique, messages
instantanés, site webs, etc., on tente de duper
l'utilisateur en le faisant cliquer sur un lien.
• L'objectif est d'obtenir des adresses de cartes de
crédit, des mots de passe, etc.
• Les adresses sont collectées au hasard, mais
statistiquement un utilisateur peut avoir l'impression de
recevoir un courrier d'un site qui lui est familier
(banque,…).
Le Scam
• Pratique frauduleuse d'origine africaine
("ruse") pour extorquer des fonds à des
internautes.
• Réception d'un courrier électronique du
descendant d'un riche africain décédé
dont il faut transférer les fonds.
• Connue aussi sous le nom de 419 en
référence à l'article du code pénal
nigérian réprimant ce type d'arnaque.
Exemple de Sacm
Les Hoax
• On appel hoax un courrier électronique
propageant une fausse information et,
poussant le destinataire à diffuser la fausse
nouvelle à tous ses proches ou collègues.
• À la différence des SPAM qui sont envoyés
de manière automatisée, les HOAX sont
relayés manuellement par des personnes de
bonne foi à qui on demande de renvoyer le
message à toutes ses connaissances, ou à
une adresse de courrier électronique bien
précise.
Objectifs des HOAX
 Engorger les serveurs de mail.
 Passer à travers les protections anti-
SPAM.
 Nuire à l’image d’une marque.
 Politique, idéologique.
 Saturer une adresse mail précise.
 Créer une liste de mail.
Protection contre les HOAX
 Toujours vérifier une information avant de
la véhiculer
 Sites internet :
◦ http://www.hoaxbuster.com
◦ http://www.hoaxkiller.fr
◦ http://urbanlegends.about.com
◦ …
Les réseaux sociaux
 FaceBook, Twitter, MySpace, Deezer,
copains d’avant,Youtube, Dailymotion…
 Applications FaceBook
 Vol d’identité, informations personnelles
 FaceBook est un superbe cyber vivier
pour perpétrer des forfaits
 Faux profils, faux amis Twitter
Réseaux Sociaux – Exemple 1/2
 Liens youtube (en fait www.yuotube.fr) qui
nécessite l’installation d’un plug-in (virus)
◦ Le lien apparait sur son profil pour se propager
 KoobFace (Ukraine 2008) programme qui vole mot
de passe, n° de CB, et ajoute le PC à un
Botnet
 Application non vérifiée par Facebook
◦ Photo of the day (tous les jours une photo de
National Geographic) mais code javascript
malicieux
 Theharmonyguy.com 9700 applications avec
grosses failles de sécurité
Réseaux Sociaux – Twitter 1/2
 Twitter Hacker par Hacker Croll
◦ Par social engeneering
◦ Trouver le mot de passe de la boite mail yahoo d’un
administrateur Evan Williams et son épouse
◦ Accès aux comptes Paypal, Amazon, Apple, AT&T,
MobileMe et Gmail d'Evan Williams, de Sara
Morishige Williams, de Margaret Utgoff, et de Kevin
Thau (des employés de Twitter)
◦ Il a pu accéder aux informations Registrar des noms
de domaines de Twitter et il pouvait à tout moment
rediriger les domaines twitter vers n'importe quelle
adresse IP (ou carrement voler le nom de domaine)
Réseaux Sociaux – Twitter 2/2
 informations interne qu'il a pu se procurer sur Twitter.
◦ la liste de tous les employés
◦ leurs préférences alimentaires
◦ des numéros de cartes bleues
◦ des contrats confidentiels avec Nokia, Samsung, Dell, AOL,
Microsoft…
◦ des contacts emails de personnalités du web et du showbizz
◦ des numéros de téléphone
◦ des comptes rendus de réunion (très instructifs)
◦ des modèles de documents internes
◦ des emplois du temps
◦ des CV de candidats aux postes dispo
◦ des grilles de salaire
Conséquences des spyware virus …

 Perte de données
 Perte de temps de travail
 Perte d’image de marque
 Perte de fonctionnalités (système ou
email bloqués)
 Perte de confidentialité
Attaques Réseau
Sniffer
 Outil de base indispensable.
 Permet de visualiser les trames sur un
segment de réseau.
 Nécessite des droits administrateurs.
 Attention au problème juridique
 Beaucoup de logiciels sniffers existants.
 Affiche les entêtes de paquets répondant
au critère spécifié.
IP spoofing
 Méthode d'attaque qui parodie l'adresse
IP d'un autre ordinateur (usurpation).
 Permet de brouiller les pistes ou
d'obtenir un accès à des systèmes sur
lesquels l'authentification est fondée sur
l'adresse IP (rlogin, rsh sur les machines à
numéro de séquence TCP prévisible).
Déni de Service (DOS)
• Denial Of Service
• Attaque destinée à empêcher l ’utilisation d ’une
machine ou d ’un service.
• Type d'attaque utilisée par frustration, par
rancune, par nécessité, …
• Souvent plus facile de paralyser un réseau que
d'en obtenir un accès.
• Ce type d ’attaque peut engendrer des pertes
très importantes pour une entreprise.
• Attaque relativement simple à mettre en œuvre
(outils faciles a trouver).
Types de DOS
• DOS local (épuisement des ressources)
– Saturation de l'espace disque
– répertoires récursifs
– boucle infinie de fork ()
–…
• DOS par le réseau (consommation de bande
passante)
– Réassemblage de fragments (Ex: teardrop, ping of the
death)
– Flags TCP illégaux
– SYN flood
–…
DOS par SYN flood
 Attaque par inondation de SYN avec une
adresse source usurpée (spoofée) et
inaccessible.
 La machine cible doit gérer une liste de
connexions dans l ’état SYN_RECV .
 Une attaque est visible si la commande
netstat –an indique un grand nombre de
connexions dans l'état SYN_RECV.
DNS cache poisoning
 Reroutage d'un site sur un site pirate
Exemple
• Vulnérabilité découverte en juillet 2007
touchant de nombreuses versions de BIND
(CVE-2007-2926 , BID-25037).
• Description du CERTA:
– "Une vulnérabilité a été identifiée dans BIND. La
faille concerne le générateur d'identifiants de
requêtes, vulnérable à une cryptanalyse
permettant une chance élevée de deviner le
prochain identifiant pour la moitié des requêtes.
Ceci peut être exploité par une personne
malintentionnée pour effectuer du cache
poisoning et donc contourner la politique de
sécurité. "
ARP spoofing
• Pollution des caches arp avec de fausses
associations adresse mac/adresse IP.
• Permet des attaques de type "man in the
middle", DOS, transgression des règles d'un
firewall par spoofing.
Smurf
• Envoie d'une trame ICMP "echo request" sur une adresse de diffusion.
• Exemple: ping 193.49.200.255
• Méthode utilisée pour déterminer les machines actives sur une plage IP
donnée.
• Objectif: écrouler une machine
• 3 parties: l'attaquant, l'intermédiaire, la victime
Le Phreaking
 contraction de phone et freak (marginal).
 pirate téléphonique.
 Objectifs :
◦ ne pas payer la communication.
◦ rester anonyme.
 Origine : Le phreaking est né aux États-Unis
dans les années 1970. Un des mythes fondateur
du phreaking est l'histoire de Captain Crunch.
Ce phreaker de renommée internationale avait
utilisé un sifflet trouvé dans une boîte de
céréales Captain Crunch pour accéder à des
fonctions spéciales du central téléphonique.
Le Phreaking
 Les télécartes furent l'objet d'actes de
piratage pendant les années 1990.
 Croissance avec le Minitel.
 Piratage de standard d’entreprise.
Le Carding
 Cartes bancaires et plus généralement des banques.
 Carte de télévision.
 Numéro des cartes de certaines banques :
◦ 4970 : La poste
◦ 4971 : Crédit Commercial
◦ 4972 : Crédit Lyonnais
◦ 4973 : Société Générale
◦ 4974 : BNP
◦ 4975 : Banque Populaire
◦ 4976 : Banque Sofinco
◦ 4978 : Caisse d'Epargne
◦ 5016 : Finedis
◦ 5032 : Accord Finances
◦ 5131 : Crédit Agricole
La Yescard
 Une YesCard est une carte bancaire donnant
une autorisation de transfert ("oui" à la
demande) quel que soit le "code secret" tapé
par son titulaire.
 vierge à l'origine, dans laquelle un programme et
des données spécifiques sont programmées par
un pirate.
 Le programme est développé soit à partir du
contenu d'une carte bancaire trouvée même
périmée.
Législation
 En France :
 La contrefaçon et/ou la falsification des cartes bancaires sont régies par le décret-loi du 30
octobre 1935 unifiant le droit en matière de chèques et relatif aux cartes de paiement.
 Art. 67. (L. n° 91-1382 du 30 déc. 1991)
◦ Seront punis d'un emprisonnement d'un an à sept ans et d'une amende de 3.600 F à
5.000.000 F ou de l'une de ces deux peines seulement :
 Ceux qui auront contrefait ou falsifié un chèque ;
 Ceux qui, en connaissance de cause, auront fait usage ou tenté de faire usage d'un
chèque contrefait ou falsifié ;
 Ceux qui, en connaissance de cause, auront accepté de recevoir un chèque contrefait ou
falsifié.
 Art. 67-1. (L. n° 91-1382 du 30 déc. 1991) Seront punis des peines prévues à l'article 67
◦ Ceux qui auront contrefait ou falsifié une carte de paiement ou de retrait ;
◦ Ceux qui, en connaissance de cause, auront fait usage d'une carte de paiement ou de retrait
contrefaite ou falsifiée ;
◦ Ceux qui, en connaissance de cause, auront accepté de recevoir un paiement au moyen
d'une carte de paiement contrefaite ou falsifiée.
 Art. 67-2. (L. n° 91-1382 du 30 déc. 1991)
◦ Dans les cas prévus par les articles 67 et 67-1, les chèques et les cartes de paiement ou de
retrait contrefaits ou falsifiés seront confisqués et détruits. La confiscation des matières,
machines, appareils ou instruments qui ont servi ou étaient destinés à servir à la fabrication
desdits objets sera prononcée, sauf lorsqu'ils ont été utilisés à l'insu du propriétaire.
Le wifi
 Médium partagé
 Piratage en hausse constante
 (coWPAtty, aircrack, KisMAC, Wireshark,
Kismet, Airjack, …)
 Nécessite une forte sécurisation et
authentification
Le wifi
 Une infrastructure adaptée
 Eviter les valeurs par défaut
 Le filtrage des adresses MAC
 WEP - Wired Equivalent Privacy
◦ clés d'une longueur de 64 bits ou 128 bits
◦ déclarée au niveau du point d'accès et des
clients
◦ la connaissance de la clé est suffisante pour
déchiffrer les communications
Le wifi
 WPA - WiFi Protected Access
 TKIP (Temporary Key Integrity Protocol)
 génération aléatoire de clés
 possibilité de modifier la clé de chiffrement plusieurs
fois par secondes, pour plus de sécurité.
 TKIP se met en place après le protocole WEP
 le code d'authentification de message est contenu dans
un paquet WEP
 un pirate informatique peut l'intercepter
 récupérer le code MAC et se faire passer pour le point
d'accès.
 Cette méthode est encore plus efficace en interceptant
les paquets ARP puisque leur contenu est connu.
Le wifi
 WPA2
◦ Ne repose plus sur le WEP
◦ Utilise des algorithmes de cryptage différent
de TKIP comme Radius ou AES
◦ Existe une version allégée pour les
particuliers
Les Mobiles
 Les appareils mobiles peuvent être de 8
types
◦ Téléphone mobile
◦ PDA
◦ Smartphone
◦ Tablette PC
◦ Notebook
◦ Lecteur multimédia mobile
◦ Console de jeu mobile
◦ Appareil mobile industriel
Les Mobiles
Téléphone mobile
 typologie très variée
 fournissent différents niveaux de fonctionnalités
 fonctionnalités de base
◦ effectuer un appel
◦ envoi d’un court message de texte
 fonctions supplémentaires
◦ alarme ou un calendrier.
◦ synchronisation du contenu du calendrier
◦ du répertoire téléphonique avec un ordinateur de bureau
 font tourner un système d’exploitation spécialisé et
compact.
Les Mobiles
PDA
 Appareils possédant généralement un large écran
tactile muni d’un clavier
 disposent de processeurs relativement rapides
 capacité mémoire et de stockage plutôt limitée
 ensemble de logiciels pour la gestion des
informations personnelles
 carnet d’adresses, un calendrier, un petit traitement
de texte
 un système d’exploitation supportant l’installation de
logiciels supplémentaires
 fournissent généralement une certaine connectivité
sans fil
Les Mobiles
Smartphones
 combinaison d’un téléphone mobile et d’un
PDA
 une version élaborée ressemblant à un PDA
 une version plus simple ressemblant à un
téléphone mobile
 Un smartphone possède beaucoup
d’applications communes à un PDA
 installation d’applications supplémentaires
Les Mobiles
Tablette PC
 écrans tactiles mobiles sans clavier
 connectivité sans fill
 composants standards d’ordinateurs
personnels
 système d’exploitation commun aux
ordinateurs personnels
 enrichi de quelques services d’interface
spécifiques
Les Mobiles
Lecteur multimédia mobile
 conçus pour accéder à du contenu multimédia
 aussi appelés lecteurs de musique ou baladeurs
 peuvent inclure un lecteur et enregistreur vidéo
 connectivité sans fil pour accéder à du contenu
à travers un réseau
 La plupart utilisent un système d’exploitation
personnalisé
 ne supporte pas l’installation de logiciels
supplémentaires.
Les Mobiles
Console de jeu mobile
 Conçues pour jouer à des jeux vidéos
 Capables de fournir du contenu multimédia
 Distinction entre une console de jeu portable et
un lecteur multimédia mobile
 Peuvent utiliser une connectivité sans fil (multi-
joueurs)
 Système d’exploitation personnalisé et ne
supportent pas l’installation de logiciels
supplémentaires autre que des jeux
 Il existe des outils permettant de les utiliser
comme un ordinateur portable.
Mobiles – Les causes
 Convergence technologique
◦ Combinaison de technologies différentes
◦ baladeur ou un appareil photo numérique.
 Forte connectivité
◦ Beaucoup d’appareils supportent de multiples
façons de se connecter à Internet ou à tout autre
réseau.
 Forte personnalisation
◦ Les appareils mobiles ne sont généralement pas
partagés entre les utilisateurs, là où les
ordinateurs le sont souvent. Ces appareils ne
sont jamais loin de leur propriétaire.
Mobiles – Les causes
 Plus difficile à sécurisé
 Mobilité augmente risque de vol de données, ou de
l’appareil
 Une forte personnalisation + forte connectivité =
violation de la vie privée
◦ (un appareil mobile se situe là où se trouve son propriétaire,
et donc localiser le mobile signifie localiser son propriétaire)
 Nouvelle fonctionnalité = Nouvelle cible potentiellement
attaquable
 L’absence d’un clavier complet, complique l’implantation
de mécanisme d’authentification (login, mdp à saisir)
Mobiles – Les Menaces
 Perte ou vol d’appareil (sauvegarde)
 Attaques par déni de service (capacité faible en
traitement)
 Attaques par réseau sans fil (écoute)
 Attaques par effraction (dépassement de tampon et injection de
code sur un système Windows CE )
 Virus, vers et chevaux de Troie
 Attaques par surfacturation
 Attaques par infrastructure
 Failles Java (Midlet, Kvm
(KiloVirtualMachine),…)
Les Mobiles – Les Menaces
 Commonwarrior-A pour Symbian (Nokia)
 Envoie de SMS de SPAM
 Explosion de la facture
 1000 Programmes malveillants
 C’est l’OS qui est ciblé
 Frontière entre mobile et PC très mince
 Accès direct au Web, peu de logiciel de
surveillance (Norton, Kaspersky)
Les Mobiles - Protection
 Factures au montant inhabituel
 Désactiver Bluetooth et Wifi
 Ne pas ouvrir les pièces jointes
expéditeur inconnu (Mail, Sms, MMS)
 Applications d’origines douteuses
 Infection -> réinitialisation complète
Protection
Les Protections
 se tenir au courant
 connaître le système d'exploitation
 réduire l'accès au réseau (firewall)
 réduire le nombre de points d'entrée
(ports)
 définir une politique de sécurité interne
(mots de passe, lancement d'exécutables)
 déployer des utilitaires de sécurité
(journalisation)
Les anti-
anti-virus
 fichiers de signatures :
◦ comparaison de la signature virale du virus aux codes
à vérifier.
◦ méthode dite heuristique tendant à découvrir un
code malveillant par son comportement.
 balayer le contenu d'un disque dur.
 la mémoire de l'ordinateur.
 Action en amont de la machine en scrutant les échanges
de fichiers avec l'extérieur.
 Surveille aussi les courriels.
Les anti-
anti-virus
 il peut :
◦ tenter de réparer les fichiers endommagés en
éliminant le virus.
◦ mettre les dossiers en quarantaine afin qu’ils ne
puissent être accessibles aux autres dossiers ni se
répandre et qu'ils puissent éventuellement être
réparés ultérieurement.
◦ supprimer les fichiers contaminés.
 Les mises à jour doivent être faites de façon très
régulière et fréquente
Les pare feu (firewall)
 élément du réseau informatique, logiciel
et/ou matériel.
 faire respecter la politique de sécurité du
réseau, celle-ci définissant quels sont les
types de communication autorisés ou
interdits.
Les pare feu (firewall)
 une des pierres angulaires de la sécurité d'un réseau
informatique.
 Il perd en importance au fur et à mesure que les
communications basculent sur HTTP sur SSL, court-
circuitant tout filtrage.
 contrôler le trafic entre différentes zones de confiance.
 Le filtrage se fait selon divers critères :
◦ l'origine ou la destination des paquets (adresse IP, ports TCP ou
UDP, interface réseau, etc.)
◦ les options contenues dans les données (fragmentation, validité,
etc.)
◦ les données elles-mêmes (taille, correspondance à un motif, etc.)
◦ les utilisateurs pour les plus récents
Les pare feu (firewall)
 Pare-feu sans états (stateless firewall)
 Regarde chaque paquet indépendamment des autres et
le compare à une liste de règles préconfigurées.
 Ces règles peuvent avoir des noms très différents en
fonction du pare-feu :
◦ "ACL" pour Access Control List (pare-feu Cisco),
◦ politique ou policy (pare-feu Juniper/Netscreen),
◦ Filtres …
 Pare-feu à états (stateful firewall)
◦ notion de connexion
◦ vérifient la conformité des paquets à une connexion en cours
◦ vérifient que chaque paquet d'une connexion est bien la suite du
précédent paquet et la réponse à un paquet dans l'autre sens.
Les pare feu (firewall)
 Pare-feu applicatif
◦ vérifient la complète conformité du paquet à un protocole
attendu.
◦ Exemple : seul du HTTP passe par le port TCP 80.
◦ très gourmand en temps de calcul dès que le débit devient très
important.
◦ de plus en plus de protocoles réseaux utilisent un tunnel TCP
pour contourner le filtrage par ports.
◦ ouverture de ports dynamique (FTP)
 Pare-feu identifiant
◦ règles de filtrage par utilisateur et non plus par IP.
◦ NuFW.
◦ ISA Server.
Les pare feu (firewall)
 Pare-feu personnel
◦ installés sur une machine de travail
◦ agissent comme un pare-feu à états
◦ vérifient aussi quel programme est à l'origine des données
◦ But : lutter contre les virus informatiques et les logiciels espions.
 Portails captifs
◦ But : effectuer une vérification de l'identité de l'utilisateur avant
de le laisser accéder à internet.
◦ permettent de limiter les utilisations abusives des moyens
d'accès.
◦ Très utilisé dans les réseaux Wifi (hot spot)
◦ Pfsense
Les pare feu (firewall)
 Les firewalls récents embarquent de plus en plus de fonctionnalités,
parmi lesquelles on peut citer :
◦ Filtrage sur adresses IP/Protocole.
◦ Inspection stateful et applicative.
◦ Intelligence artificielle pour détecter le trafic anormal.
◦ Filtrage applicatif
 HTTP (restriction des URL accessibles).
 Courriel (Anti-pourriel).
 Logiciel antivirus, anti-logiciel malveillant.

 Translation d'adresses.
 Tunnels IPsec, PPTP, L2TP.
 Identification des connexions.
 Serveurs de protocoles de connexion (telnet, SSH), de protocoles
de transfert de fichier (SCP).
 Serveur mandataire (« proxy » en anglais).
Intrusion Detection System (IDS)
 Un IDS a pour fonction d'analyser en temps réel ou
différé les évènements en provenance des différents
systèmes, de détecter et de prévenir en cas d'attaque.
 Les buts sont nombreux :
◦ collecter des informations sur les intrusions.
◦ gestion centralisée des alertes.
◦ effectuer un premier diagnostic sur la nature de
l'attaque permettant une réponse rapide et efficace.
◦ réagir activement à l'attaque pour la ralentir ou la
stopper.
Intrusion Détection System (IDS)
 Les systèmes de détection d'intrusion ou IDS peuvent
se classer selon trois catégories majeures selon qu'ils
s'attachent à surveiller :
◦ le trafic réseau : on parle d'IDS réseau ou NIDS(Network based
IDS)
◦ l'activité des machines: on parle d'IDS Système ou HIDS(Host
based IDS)
◦ une application particulière sur la machine : on parle d'IDS
Application (Application based IDS). Contrairement aux deux
IDS précédents, ils sont rares. Nous ne les traiterons donc pas.
Intrusion Détection System (IDS)
 Les systèmes de détection d'intrusion ou IDS peuvent
se classer selon trois catégories majeures selon qu'ils
s'attachent à surveiller :
◦ le trafic réseau : on parle d'IDS réseau ou NIDS(Network based
IDS)
◦ l'activité des machines : on parle d'IDS Système ou HIDS(Host
based IDS)
◦ une application particulière sur la machine : on parle d'IDS
Application (Application based IDS). Contrairement aux deux
IDS précédents, ils sont rares. Nous ne les traiterons donc pas.
 Il se place juste derrière le firewall
Le VPN
 Principe
◦ vu comme une extension des réseaux locaux
◦ préserve la sécurité logique que l'on peut
avoir à l'intérieur d'un réseau local
◦ techniques de « tunnel »
◦ utiliser Internet comme support de
transmission
◦ réseau ainsi artificiellement créé
◦ une liaison sécurisée à moindre coût
Le VPN
 l'authentification (et donc l'identification) des
interlocuteurs
 l'intégrité des données (le chiffrement vise à les
rendre inexploitables par quelqu'un d'autre que
le destinataire)
 sécurisé par des algorithmes de cryptographie
 entre l'entrée et la sortie du VPN les données
sont chiffrées
 comme si les données passaient dans un tunnel
Le VPN
 encapsuler un protocole dans un
protocole de même niveau du modèle
OSI (IP dans IPSec par exemple)
Le VPN
 Principe
 Un système extérieur (client nomade)
veut atteindre le réseau de son entreprise
◦ Les paquets sont chiffrés par le client VPN et
éventuellement signés.
◦ Transmis par Internet
◦ Reçus par le serveur VPN
Cryptographie Symétrique
 Un peu de binaire
 Exemple de cryptage
◦ Message 10011100
◦ Clé de cryptage : 101
Cryptographie asymétrique
 2 clés une publique et une privée
 Clé publique crypte mais ne décrypte pas
 Clé privée décrypte mais ne crypte pas
◦ On envoie la clé publique uniquement et on
garde sa clé privée
Cryptage asymétrique
 Le coffre-fort
 Le chiffrement : Alice a choisi un coffre-fort. Elle l'envoie
ouvert à Bob, et en garde la clé. Lorsque Bob veut écrire à
Alice, il y dépose son message, ferme le coffre, et le renvoie à
Alice. À sa réception, seule Alice peut ouvrir le coffre,
puisqu'elle seule en possède la clé, à supposer le coffre
inviolable, et que personne ne puisse retrouver la clé.
 L'authentification ou la signature : Alice place un message
dans le coffre-fort qu'elle ferme avec sa clef privée avant de
l'envoyer à Bob. Si Bob parvient, à l'aide de la clé publique
d'Alice (dont il dispose), à ouvrir le coffre-fort c'est que c'est
bien celui d'Alice et donc que c'est bien elle qui y a placé le
message. (src wikipédia)
les certificats numériques
 Permet de s’assurer que l’expéditeur est
bien celui que l’on croit (ma banque…)
 Procédure inverse on crypte avec sa clé
privé un message décryptable avec la clé
publique.
 Si le message décrypté est valide c’est
bien l’expéditeur qui l’a envoyé
Cryptage asymétrique
 La boîte à deux serrures
 Une autre analogie envisageable serait d'imaginer une boîte avec deux
serrures différentes. Lorsque l'on ferme la boîte d'un côté, seule la clé
correspondant à l'autre serrure permet l'ouverture de la boîte et vice-
versa. Une des clés est privée et conservée secrète, l'autre est dite
publique et un exemplaire peut-être obtenu par quiconque souhaite
utiliser la boîte.

 Pour chiffrer un message Bob prend la boîte, y place son message, et la


ferme à l'aide de la clé publique. Seul le détenteur de la clé privée
permettant d'accéder à l'autre serrure, Alice en l'occurrence, sera en
mesure de rouvrir la boîte.

 Pour signer un message, Alice le place dans la boîte et ferme celle-ci à


l'aide de sa clé privée. Ainsi n'importe qui ayant récupéré la clé publique
pourra ouvrir la boîte. Mais comme la boîte a été fermée par la clé privée,
cette personne sera assurée que c'est bien Alice, seule détentrice de cette
clé, qui aura placé le message dans la boîte et fermé ladite boîte.
Le niveau humain

Impliquer l'utilisateur en le sensibilisant (ce


cours)
Garder à l'esprit que toute attaque trouve
son origine dans une défaillance humaine
« Le plus gros bug en
informatique est celui qui se
trouve entre la chaise et
l’ordinateur »
105
La charte informatique

Reponsabiliser l'utilisateur par un outil de


prévention
code du travail article L.121-8 :
« Aucune information concernant personnellement un salarié ou un
candidat à un emploi ne peut être collectée par un dispositif qui
n'a pas été porté préalablement à la connaissance du salarié ou du
candidat à un emploi. »

on ne peut surveiller l'activité d'un employé


si celui-ci n'est pas prévenu !

106
Contenu de la charte
Doit préciser le comportement attendu de l'utilisateur du
système en gardant le respect de la déontologie et du
droit

1- Qui est autorisé à utiliser les ressources réseau ?


2- Quelles sont les utilisations normales de ces ressources ?
3- Qui est autorisé à donner des droits aux autres
utilisateurs ?
5- Quels sont les droits et responsabilités des utilisateurs ?
6- Quels sont les droits et responsabilités des
administrateurs ?
7- Que faire avec les informations sensibles ?
8- Quelle politique de mot de passe ?

107
CAS PRATIQUE

Établir votre version de charte


informatique de l‘école en justifiant
chacun des articles

108