Traduit de Anglais vers Français - www.onlinedoctranslator.

com

Chapitre 1

Introduction à la sécurité des services électroniques

Mince Rekhis

slim.rekhis@supcom.tn

SERES – SUP'PTIC - 2023

 Contour

◼ importance de la sécurité des services électroniques

◼ Exemples d'attaques contre les e-services

◼ Menaces, vulnérabilités, attaques et actifs

◼ Surface d'attaque et vecteur d'attaque

◼ Exigences de sécurité fonctionnelle et principe de conception

 Qu'est-ce qu'un e-service

◼ Est la fourniture de services et d'informations sur

Internet.

◼ Par exemple, les services bancaires en ligne, le commerce électronique, les services
gouvernementaux en ligne, l'informatique en nuage, les soins de santé, l'éducation.

◼ Les services électroniques font désormais partie intégrante de notre vie quotidienne
et ont révolutionné la façon dont nous interagissons les uns avec les autres,

effectuons des transactions commerciales et accédons à l'information.

3
 Exemples de e-services
◼ Banque en ligne : permet aux clients de gérer leurs comptes bancaires, de consulter les soldes de compte, de virer des
fonds et de payer des factures en ligne.

◼ Commerce électronique : plates-formes d'achat en ligne qui permettent aux consommateurs d'acheter des biens et des
services

◼ Services gouvernementaux en ligne : sites Web qui permettent d'accéder aux services gouvernementaux tels que les
demandes de passeport et de visa, les déclarations de revenus et d'autres services administratifs.

◼ Cloud Computing : Services qui permettent aux entreprises et aux particuliers de stocker, gérer et
traiter des données sur Internet.

◼ eServices de soins de santé : plates-formes en ligne qui donnent accès à des services de soins de santé tels que
la télémédecine, la prise de rendez-vous en ligne et la gestion des dossiers de santé.

◼ Education eServices : plates-formes d'apprentissage en ligne qui proposent des cours, du tutorat et
d'autres ressources pédagogiques.

◼ Médias sociaux : plates-formes en ligne qui permettent aux individus de se connecter et de partager des informations, des

nouvelles et des médias les uns avec les autres. 4

 Pourquoi la sécurité des services électroniques est-elle importante ?

◼ Avec la popularité croissante et l'utilisation généralisée des services électroniques, la sécurité est devenue

une préoccupation essentielle.

◼ Les services électroniques contiennent des informations sensibles telles que des données personnelles, des

informations financières et des dossiers commerciaux confidentiels, ce qui les rend vulnérables aux

cyberattaques.

◼ Une faille de sécurité dans les services électroniques peut entraîner une perte de données, des pertes financières, une

atteinte à la réputation et une perte de confiance entre les clients.

◼ Assurer la sécurité des services électroniques est essentiel pour la protection des particuliers, des

entreprises et des gouvernements.

◼ De nombreuses cyberattaques furtives, sophistiquées et ciblées contre les services électroniques

dans les organisations des secteurs public et privé ont été observées.

5
 Types d'architectures de services électroniques

◼ Architecture client-serveur : un appareil client fait une demande à un

serveur centralisé, qui fournit le service demandé.
◼ Par exemple, e-mail, applications Web et partage de fichiers.

◼ Architecture Peer-to-Peer (P2P): Le réseau d'appareils communique directement

entre eux, sans avoir besoin d'un serveur centralisé.
◼ Par exemple, partage de fichiers, applications informatiques distribuées

◼ Architecture orientée services (SOA) : Ensemble de services faiblement couplés qui peuvent être

combinés pour fournir un service électronique complet.

◼ Par exemple, le commerce électronique interentreprises (B2B) et la gestion de la chaîne d'approvisionnement

6
 Architectures de services électroniques (2)

◼ Architecture de microservices : les services électroniques complexes sont décomposés en

composants indépendants plus petits, chacun pouvant être développé, déployé et géré
indépendamment. Cette architecture est couramment utilisée pour les services électroniques
basés sur le cloud et peut améliorer l'évolutivité et la fiabilité.

◼ Architecture cloud : ce type d'architecture implique l'utilisation d'une infrastructure basée sur le cloud

pour fournir des services électroniques. Cette architecture permet aux organisations de tirer parti de
l'évolutivité, de la fiabilité et de la rentabilité du cloud computing pour fournir des services électroniques à
une large base d'utilisateurs.

◼ Architecture mobile : ce type d'architecture implique l'utilisation d'appareils et de réseaux mobiles pour

fournir des services électroniques. Cette architecture est couramment utilisée pour les services basés sur la
localisation, les services bancaires mobiles et les applications de commerce mobile.

7
 Exemples d'attaques de sécurité sur les e-services

◼ Capture du trafic réseau (par exemple, UID, mots de passe)

◼ Falsification d'identité en tant qu'utilisateur autorisé ou système final

◼ Exploitation de bugs logiciels pour corrompre des données ou faire fuir un service de

données sensibles

◼ Utilisation d'un système/service compromis comme dispositif d'attaque

◼ Propagation de logiciels malveillants (par exemple, vers, portes dérobées)

◼ Déni de service aux actifs critiques (par exemple, arrêt des systèmes EHR (dossier de santé

électronique) dans les infrastructures de santé en ligne)

◼ Malice d'initié (insertion délibérée de code malveillant, fuite de données)

8
Sophistication des attaques contre connaissance des intrus

9
 Attaque Stuxnet contre la centrale nucléaire iranienne
◼ Un ver planté dans les installations nucléaires iraniennes à l'aide d'une clé USB

◼ Utilisé pour cibler spécifiquement les centrifugeuses de l'installation iranienne d'enrichissement d'uranium

◼ Première cyberarme utilisée dans le monde en raison de sa capacité à provoquer une destruction physique, et le premier logiciel malveillant
connu conçu pour infecter les systèmes de contrôle industriels (ICS).

◼ Stuxnet a trois modules

◼ Un ver qui exécute les routines liées à l'attaque
◼ Un fichier de lien qui exécute automatiquement les copies de vers propagées

◼ Un rootkit qui cache tous les fichiers et processus malveillants pour échapper à la détection

◼ Le ver se propage sur le réseau à la recherche du logiciel Siemens Step7 sur les ordinateurs (utilisé pour contrôler les
contrôleurs logiques de programmation, PLC)

◼ Une fois la machine ciblée trouvée, le logiciel malveillant injecte le rootkit dans l'automate et le logiciel Step7, modifie le
code et envoie des commandes à l'automate tout en affichant les informations normales du système d'exploitation à
l'utilisateur final.

◼ Il manipulait les vannes des centrifugeuses, augmentant et diminuant leur vitesse, exerçant une pression supplémentaire
sur elles et finissant par endommager les machines jusqu'à ce qu'elles se cassent. dix
 Attaque de Blak Energy sur le réseau électrique ukrainien

◼ A eu lieu le 23 décembre 2015

◼ Première cyberattaque réussie connue sur un réseau électrique

◼ Les pirates ont réussi à compromettre les systèmes d'information de trois

sociétés de distribution d'énergie en Ukraine et à perturber temporairement
l'approvisionnement en électricité des consommateurs finaux.

◼ 30 sous-stations ont été éteintes et environ 230 000 personnes se sont

retrouvées sans électricité pendant une période de 1 à 6 heures.

11
Attaque de Blak Energy sur le réseau électrique ukrainien : étapes

Opérateur de réseau
Attaquant Réseau informatique

Vol d'identifiants

Hameçonnage Mise en place BE3

Scanner l'environnement
Télécharger KillDisk Avoir accès
TDoS Exfiltration de données

connexions à distance à l'IHM

Contrôleur SCADA
Centre d'appel
Planifier une panne de service UPS

Commander l'ouverture des disjoncteurs

UPS
Mettre à jour le micrologiciel S-To-E
Disjoncteurs

Convertisseur S à E

Les disjoncteurs ne peuvent pas être refermés à distance

 Attaque du rançongiciel WannaCry
◼ Une cyberattaque mondiale Déjeuner en mai 2017

◼ Ordinateurs ciblés exécutant le système d'exploitation Microsoft Windows en cryptant les

données et en exigeant des paiements de rançon dans la crypto-monnaie Bitcoin.

◼ On estime que l'attaque a touché plus de 200 000 ordinateurs dans 150 pays

◼ Propagé via EternalBlue, un exploit pour SMB (Server Message Block) dans les anciens
systèmes Windows publié quelques mois avant l'attaque.

◼ Alors que Microsoft avait déjà publié des correctifs pour fermer l'exploit, une grande partie de la propagation
de WannaCry provenait d'organisations qui ne les avaient pas appliqués ou utilisaient des systèmes Windows
plus anciens qui avaient dépassé leur fin de vie.

◼ WannaCry a également profité de l'installation de portes dérobées sur les systèmes infectés.

13
 Impact d'une faille de sécurité

◼ Réputation ruinée

◼ Vandalisme

◼ Vol d'informations

◼ Perte de revenus

◼ Propriété intellectuelle endommagée

14
 Types d'attaquants

◼ Amateurs
◼ Script kiddies avec peu ou pas de compétence

◼ Utilisation d'outils existants ou d'instructions trouvées en ligne pour les attaques

◼ Les pirates - s'introduisent dans des ordinateurs ou des réseaux pour y accéder

◼ Chapeaux blancs : pénétrer dans le système avec l'autorisation de découvrir les faiblesses
afin d'améliorer la sécurité de ces systèmes

◼ Chapeaux gris : systèmes de compromis sans autorisation. Ils peuvent signaler des vulnérabilités aux
propriétaires du système si cette action coïncide avec leur programme.

◼ Chapeaux noirs : profitez des vulnérabilités pour un gain personnel, financier ou politique illégal

◼ Hackers organisés - organisations de cybercriminels, hacktivistes, terroristes et

hackers parrainés par l'État.
15
 Facteurs contribuant aux attaques contre les services en ligne

◼ Manque de conscience des menaces et des risques

◼ L'importance des mesures de sécurité n'est pas reconnue tant qu'une entreprise n'a pas été

pénétrée par des utilisateurs malveillants

◼ Politiques de réseau grand ouvert (de nombreux sites permettent un accès Internet grand ouvert)

◼ La grande majorité du trafic réseau n'est pas chiffrée

◼ Manque de sécurité dans la suite de protocoles TCP/IP

◼ Complexité de la gestion et de l'administration de la sécurité

◼ Existence de bugs logiciels

◼ Les compétences des attaquants continuent de s'améliorer

16
 Quelques définitions

◼ Attaque de sécurité: toute action qui compromet la sécurité des

informations détenues par une organisation ou un individu

◼ Actif ou passif ; de l'intérieur ou de l'extérieur

◼ Mécanisme de sécurité: un mécanisme qui implémente des fonctions

conçues pour prévenir, détecter ou répondre à une attaque de sécurité

◼ Service de sécurité: Un service qui renforce la sécurité des systèmes de

traitement des données et des transferts d'informations

◼ Un service de sécurité utilise un ou plusieurs mécanismes de sécurité pour contrer une

attaque de sécurité
17
 Quelques définitions (2)

◼ Alerte:Un message envoyé par les outils de détection d'attaque (par exemple, IDS) lorsqu'ils

observent une attaque

◼ Vulnérabilité: une faiblesse qui peut être exploitée pour causer des pertes ou des dommages

◼ Menace: Un danger possible qui pourrait exploiter une vulnérabilité

◼ Risque: une espérance de perte exprimée comme la probabilité qu'une

menace particulière exploite une vulnérabilité particulière

◼ Politique de sécurité:Un ensemble de règles et de pratiques qui spécifient comment un

système ou une organisation fournit des services de sécurité pour protéger les ressources
système sensibles et critiques

18
 Quelques définitions (2)

◼ Contre-mesure
◼ Une action, un dispositif, une procédure ou une technique qui réduit une attaque, une menace ou une

vulnérabilité en : prévenant, éliminant, minimisant les dommages qu'elle peut causer, ou en la

découvrant et en la signalant afin que des mesures correctives puissent être prises.

◼ Ressource système (actif)

◼ Données contenues dans un système d'information ; ou un service fourni par un système ; ou une

capacité du système, telle que la puissance de traitement ou la bande passante de communication ; ou

un élément de l'équipement du système (c'est-à-dire, matériel, micrologiciel, logiciel ou
documentation).

19
Contre-mesures

Moyens
utilisé pour traiter

avec des attaques de sécurité

(Prévenir ; Détecter ; Récupérer)

Résiduel
vulnérabilités
peut rester
Le but est de
Peut lui-même
minimiser
introduire
niveau résiduel
nouveau
de risque pour le
vulnérabilités
actifs
20
Relation entre les concepts de sécurité

21
 Actifs

◼ Matériel
◼ Systèmes informatiques, dispositifs de stockage de données et de communication de données, …

◼ Logiciel
◼ Systèmes d'exploitation, services, applications, utilitaires système, …

◼ Données

◼ Fichiers et bases de données, configurations de sécurité (par exemple, fichiers de mots de passe), journaux

d'événements, archives, procédures opérationnelles et de support

◼ Installations et réseaux de communication

◼ Liens de communication de réseaux locaux et étendus, ponts, routeurs, ….

22
 Classification des vulnérabilités sur les e-services

◼ Vulnérabilités au niveau de l'application

◼ Systèmes d'exploitation

◼ des applications Web

◼ Applications de base de données

◼ Implémentations de protocole réseau

◼ Vulnérabilités du protocole

◼ Vulnérabilités liées à l'homme

◼ Mauvaise configuration des équipements (c.-à-d. pare-feu, routeur, commutateur)

◼ Faible protection par mot de passe

◼ Violations de la confidentialité

23
 Surfaces d'attaque

◼ Les vulnérabilités accessibles et exploitables dans un système

◼ Exemples:
◼ Ports ouverts

◼ Services accessibles via un pare-feu

◼ Code qui traite les données entrantes, les e-mails, XML, les documents bureautiques, etc.

◼ Interfaces et formulaires Web

◼ Un employé ayant accès à des informations sensibles vulnérable à une attaque

d'ingénierie sociale

24
 Catégories de surface d'attaque

◼ Surface d'attaque réseau

◼ Désigne les vulnérabilités sur un réseau d'entreprise, un réseau étendu

ou Internet
◼ Par exemple DoS, les intrus exploitant les vulnérabilités du protocole réseau

◼ Surface d'attaque logicielle

◼ Fait référence aux vulnérabilités dans le code de l'application, de l'utilitaire ou du système d'exploitation

◼ Surface d'attaque humaine

◼ Fait référence aux vulnérabilités créées par le personnel ou des tiers

◼ Par exemple, l'ingénierie sociale, les traîtres d'initiés

25
 Vecteur d'attaque

◼ Est un chemin/une méthode qu'un attaquant utilise pour accéder à un serveur, un hôte ou un réseau

afin de produire un résultat malveillant ou d'accéder à des données sensibles

◼ Les vecteurs d'attaque courants incluent les logiciels malveillants, les virus, les pièces jointes aux e-mails, les pages

Web, les fenêtres contextuelles, les messages instantanés, les SMS et l'ingénierie sociale.

◼ Les menaces internes peuvent causer des dommages plus importants que les menaces externes car les

utilisateurs internes ont un accès direct au bâtiment et à ses périphériques d'infrastructure.

26
Exemple de menaces sur les actifs

27
 Attaques actives contre passives
◼ Attaques passives :Une tentative d'apprendre ou d'utiliser des informations du
système qui n'affectent pas les ressources système
◼ Publication du contenu du message: un message (par exemple, un e-mail) peut contenir des données sensibles

◼ Analyse du trafic: un intrus peut déduire des données sensibles (même si les messages sont cryptés) en observant les
modèles de message (par exemple, la taille, la fréquence, le temps d'échange)

◼ Reconnaissance passive :Obtenez des informations importantes sur la cible en parcourant le contenu du site Web, les
médias sociaux, les serveurs DNS (collecte ID, numéro de téléphone, adresse personnelle, informations de contact, …)

◼ Attaques actives :Une tentative de modifier les ressources système ou d'affecter leur fonctionnement

◼ Mascarade: une entité prétend être une autre entité.

◼ Rejouer: une entité capture une unité de données et la retransmet pour produire un effet non autorisé

◼ Modification des messages:une entité modifie une partie d'un message légitime pour produire
un effet indésirable

◼ Déni de service:Empêche l'utilisation normale des ressources informatiques et de communication

28
 Exigences de sécurité fonctionnelle

◼ Contrôle d'accès

◼ Sensibilisation et formation

◼ Audit et responsabilité
◼ Certification, accréditation et évaluations de sécurité

◼ Gestion de la configuration

◼ La planification d'urgence

◼ Identification et authentification

◼ Réponse aux incidents

29
 Exigences de sécurité fonctionnelle (2)
◼ Entretien
◼ Protection des médias

◼ Protection physique et environnementale

◼ Sécurité du personnel

◼ L'évaluation des risques

◼ Acquisition de systèmes et de services

◼ Protection du système et des communications

◼ Intégrité des systèmes et des informations

30
 Principes fondamentaux de conception de la sécurité

◼ Economie de mécanisme

◼ Valeurs par défaut à sécurité intégrée

◼ Médiation complète

◼ Conception ouverte

◼ Séparation de privilège

◼ Le moindre privilège

◼ Mécanisme le moins courant

◼ Acceptabilité psychologique

◼ Isolement

◼ Modularité

◼ Superposition

31
10 étapes vers la sécurité des services électroniques

Source: 32
 Stratégie de sécurité informatique

◼ Politique de sécurité

◼ Qu'est-ce que le système de sécurité est censé faire ?

◼ Mise en œuvre de la sécurité

◼ Comment fait-il ? Quelles sont les mesures de sécurité utilisées ?

◼ Certification/Évaluation

◼ La mise en œuvre du système de sécurité répond-elle à ses

spécifications ? »

◼ Est-ce que ça marche vraiment ?

33