Académique Documents
Professionnel Documents
Culture Documents
Sommaire ................................................................................................................................................ 2
Disclaimer ................................................................................................................................................ 3
Introduction............................................................................................................................................. 3
Qui suis-je ? ............................................................................................................................................. 4
A qui s’adresse cet ebook ? ..................................................................................................................... 5
A quoi sert cet ebook ?............................................................................................................................ 5
La sécurité des systèmes d’informations ................................................................................................ 6
Les organismes d’état.............................................................................................................................. 7
Les menaces informatiques ................................................................................................................... 10
L’exfiltration de données....................................................................................................................... 12
Les coûts d’une cyberattaque ............................................................................................................... 13
Les nouvelles surfaces d’attaque .......................................................................................................... 14
L’internet des Objets ......................................................................................................................... 14
Malware Mobile (Android) ................................................................................................................ 16
Les solutions de protection ................................................................................................................... 18
Les profils types en sécurité informatique ............................................................................................ 25
Allez plus loin......................................................................................................................................... 28
2/28
Disclaimer
Les informations contenues dans cet ebook relatives aux produits et services fournis sont
publiées à titre purement informatif. Aucune garantie ne peut être donnée quant à
l’exactitude et à l’exhaustivité des informations diffusées. Toutes les informations disponibles
dans cet ebook ont un caractère exclusivement indicatif. Ces informations sont issues des
meilleures sources et sont fournies de bonne foi néanmoins elles ne sauraient pas engager
notre responsabilité.
Les informations contenues dans cet ebook ne constituent ni en totalité ni en partie un service
de conseil en sécurité informatique. Over Shell ne pourrait être tenu responsable de toutes
actions réalisées sur une information mentionnée dans cet ebook. Over Shell décline toute
responsabilité en cas de tentatives d’intrusions ou d’acte malveillant causées par l’utilisation
des informations fournies.
Introduction
3/28
Qui suis-je ?
BROUTY MICKAEL
Passionné d'informatique et de
nouvelles technologies depuis des
années, j'ai développé une réelle
addiction par la connaissance du
milieu de la sécurité informatique
J'ai débuté l'informatique à mon tout jeune âge. Passionné par ce domaine je n'ai cessé d'être
en quête de savoir pour étancher ma soif de curiosité. Le domaine de la cybersécurité étant
novateur et en perpétuelle évolution, il m’a permis de m’épanouir pleinement.
J’ai fréquenté très tôt des hackerspaces, lieu d’échanges et de bidouilles en tout genre. J’ai eu
la chance de rencontrer des personnes qui m’ont permis d’intégrer l’un des plus grands clubs
de sécurité de France.
À mes débuts il n’y avait pas de formation dans le domaine de la sécurité des systèmes
d’information. C’est pourquoi j’ai fait le choix de me former en autodidacte pendant plus de
3 ans. Formule payante qui m’a permise de donner ensuite des cours en école d’ingénieur sur
cette thématique.
À la fin de mes études, j’ai rejoint un cabinet d’audit qui m’a permis de créer un pôle complet
dédié à ma spécialisation, le test d’intrusion. 3 ans plus tard je gère et forme une équipe de
plusieurs auditeurs dans ce domaine.
Je souhaite vous partager mes connaissances et compétences pour que vous puissiez obtenir
le mentorat que je n’ai pas eu.
4/28
À qui s’adresse cet ebook ?
Cet ebook s’adresse à toutes les personnes qui souhaitent découvrir le monde de la
cybersécurité.
Que vous ayez envie de faire carrière dans ce domaine ou que vous soyez intéressé par cette
thématique, vous y trouverez votre compte.
Dans ce document vous n’apprendrez pas à pirater Facebook ou Gmail. Les informations
apportées dans ce document sont pour les personnes qui souhaitent apprendre, comprendre
ce qu’est réellement la sécurité des systèmes d’information.
Vous n’avez pas besoin de bagage technique pour le lire ni de maitriser de compétences
particulières en informatique. Des bases vous aideront dans la compréhension du sujet.
Cet ebook permet de présenter le milieu de la sécurité des systèmes d’information à tous ceux
qui souhaitent démystifier ce domaine. De dans vous retrouverez des définitions mais aussi
une compréhension de ce secteur. N’ayez crainte ce n’est plus facile qu’il n’y parait.
5/28
La sécurité des systèmes d’information
Avant toute chose il est nécessaire d’apporter une précision. La sécurité informatique est
différente des systèmes d’information.
Combien de grandes sociétés ont récemment été piratées par un groupe de personnes ?
Aucune organisation n’est insubmersible. 81% des entreprises françaises ont été visées par
une cyberattaque en 2015. (Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-
connaitre/) On peut aussi le constater avec le piratage de comptes e-mail du ministère
tchèque (Janvier 2017) ou encore le piratage des flux financiers de la banque centrale du
Bangladesh (Avril 2016).
On estime le préjudice à environ 4,6 millions d’euros pour l’intrusion dans le système de TV5
monde. (Source : https://www.lesechos.fr/03/03/2016/lesechos.fr/021737716184_cyber-
attaque---tv5-chiffre-le-surcout-a-4-6-millions-d-euros-pour-2015.htm)
La cybercriminalité est en plein essor et les entreprises veulent se protéger contre cela.
Durant des années la réponse à cette question a été l’installation de nombreux boitiers de
sécurité comme les pare-feux et antivirus. Les sociétés pensaient qu’en achetant une solution
tout-en-un ils seraient protégés. Avec le temps on peut s’apercevoir que ce n’est pas le cas.
Aujourd’hui, chaque entreprise sait qu’elle fera l’objet d’une intrusion un jour ou un autre.
6/28
Les organismes d’état
Il est chargé de lutter contre toutes les formes de délinquance apparues avec l'avènement
des nouvelles technologies de l'information et de la communication (informatique,
téléphonie et cartes bancaires), que celles-ci soient liées ou facilitées par ces dernières.
D’autres organisations gouvernementales ont été créées en France. Celle qui sert de
référentiel à toutes les entreprises est l’ANSSI (Agence Nation de Sécurité des Systèmes
d’Information). Celle-ci rédige des politiques de sécurité1, des directives2 et de bonnes
pratiques à respecter pour se prémunir contre le tout-venant.
Dans le domaine de la défense des systèmes d'information, elle assure un service de veille,
de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux
de l'État. »
1
Politique de sécurité : document fournissant les stratégies de sécurité à appliquer en entreprise
2
Directive : document découlant de la politique de sécurité, contenant des réponses techniques pour la mise
en œuvre des stratégies de sécurité.
7/28
L’ANSSI apporte son expertise et son assistance technique aux administrations et aux
entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV) ou
des opérateurs de services essentiels (OSE).
Elle est chargée de la promotion des technologies, des produits et services de confiance, des
systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle
contribue ainsi au développement de la confiance dans les usages du numérique.
La Cyberdéfense est l’ensemble des activités conduites afin d’intervenir militairement ou non
dans le cyberespace3 pour garantir l’effectivité de l’action des forces armées, la réalisation
des missions confiées et le bon fonctionnement du ministère. La cyberdéfense est à
différencier de la cybercriminalité qui correspond à l’ensemble des crimes et délits
traditionnels ou nouveaux réalisés, via les réseaux numériques.
3
Cyberespace : ensemble de données numérisées constituant un univers d’information et un milieu de
communication, lié à l’interconnexion mondiale des ordinateurs.
8/28
Les Réserves de cyberdéfense : citoyenne ou opérationnelle
9/28
Les menaces informatiques
Qu’est-ce qu’une menace informatique ?
Quelles sont-elles ?
En termes de sécurité informatique, les menaces peuvent être le résultat de diverses actions
en provenance de plusieurs origines :
• Origine opérationnelle:
Ces menaces sont liées à un état du système à un instant donné. Elles peuvent être le résultat
d’un bogue logiciel (Buffer Overflows4, format string …etc.), d’une erreur de filtrage des
entrées utilisateurs (typiquement les XSS et SQL injection), d’un dysfonctionnement de la
logique de traitement ou d’une erreur de configuration.
Par exemple :
Ces dernières années un virus a beaucoup fait parler de lui « Wanna Cry » :
4
Buffer Overflows : technique de dépassement de mémoire
10/28
La particularité de ce virus est son mode de propagation, (utilisation d’un exploit de la NSA5)
ne nécessitant pas d’interaction avec l’utilisateur. On peut le classer dans la catégorie des
ransomware.
• Origine physique:
Ces attaques peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer
notamment les désastres naturels, les pannes ou casses matérielles, le feu ou les coupures
électriques.
• Origine humaine:
Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la
conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi elles
peuvent être le résultat d’une erreur de conception ou de configuration comme d’un manque
de sensibilisation des utilisateurs face aux risques liés à l’usage d’un système informatique.
Ainsi, devant cette panoplie d’incursions, la sécurité informatique vise à définir un schéma
directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des
systèmes d’information.
5
NSA : National Security Agency (Agence nationale de la sécurité) est un organisme gouvernemental du
département de la Défense des États-Unis
11/28
La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité
en instaurant une politique de sécurité au sein des organismes et en palliant à certaines
faiblesses à la fois organisationnelles et technologiques.
Il faut savoir que 35% des incidents de cybersécurité ont été générés par des collaborateurs.
Les collaborateurs sont, malgré eux et par leurs comportements, la source des incidents de
cybersécurité car ils n’ont pas la compréhension de la menace ni des risques. Ce phénomène
est amplifié par le phénomène BYOD (Bring Your Own Device, c’est à dire “apportez vos
appareils personnels“ : pratique qui consiste à utiliser ses équipements personnels
(téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel).
L’exfiltration de données
L’exfiltration de données consiste en l’extraction ou la diffusion d’informations
confidentielles.
Avec l’arrivée du cloud6, les salariés des entreprises amènent de plus en plus de travail chez
eux. Le service informatique est devenu prestataire de sa propre société. Si le temps de
réponse n’est pas satisfaisant (vis-à-vis du métier) on peut envisager l’installation de logiciels
spécifiques ou l’utilisation de processus non certifiés. Le shadow IT est un terme fréquemment
utilisé pour désigner des systèmes d'information et de communication réalisés et mis en
œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.
Cette pratique induit des risques non négligeables quant à l’exfiltration de données.
6
Cloud : est la capacité à utiliser des ressources informatiques sans les posséder
12/28
Comme le laisse sous-entendre l’image ci-dessus, plus la partie émergée de l’iceberg est
importante plus il existe de risques. La visibilité du système d’information est une part
importante dans le travail des gestionnaires de sécurité en entreprise.
13/28
Les nouvelles surfaces d’attaque
Les nouvelles surfaces d’attaque sont l’IOT (Internet Of Things) et les terminaux mobiles. En
effet, les cyber- attaquants se focalisent sur des technologies nouvelles souvent délaissées en
termes de sécurité par les constructeurs ou éditeurs.
L’internet des objets ou IOT est un concept qui vise à connecter tous les objets du quotidien
(exemple domotique).
Les concepteurs de solutions concentrent d’ordinaire leur attention plus sur une pénétration
rapide du marché que sur la sécurité. Jusqu’à présent, la sécurité Internet n’est généralement
pas intégrée dans le processus de déploiement du produit car elle est plutôt ressentie comme
un obstacle à une stratégie rapide de mise sur le marché. Cela s’explique aussi par le fait que
les objets connectés sont de plus en plus souvent produits par des fabricants qui ne sont pas
issus du secteur informatique et ne connaissent donc pas les risques que pose Internet.
14/28
Les attaques du botnet (réseau de machines infectées par le virus) « Mirai » menées dans le
monde entier à la fin de l’année 2016 ont sans doute ouvert les yeux à beaucoup de monde.
Identifiées pour la première fois en août 2016 par les systèmes de détection d’AV-TEST, les
assauts du programme malveillant IoT ont réussi, dès octobre à rendre inaccessibles de grands
sites en ligne américains et européens, en inondant leurs serveurs de requêtes. Pour les
attaques DDoS, la puissance informatique cumulée de centaines de milliers de routeurs,
imprimantes, webcams et magnétoscopes piratés a été utilisée par le biais d’un botnet. Fin
novembre, les criminels ont lancé de puissantes agressions contre les routeurs ADSL des
clients de la Deutsche Telekom en utilisant d’autres variantes du même malware Linux. 900
000 appareils ont été bloqués. En octobre, le code Mirai était librement disponible sur
Internet.
15/28
Malware Mobile (Android)
Ces dernières années on constate une nette augmentation du nombre de terminaux mobiles
vendu.
De plus comme le présente le graphique suivant, Android représente plus 80% des
smartphones en circulation
En observant l’évolution des malwares entre 2015 et 2016, on constate non seulement, que
le nombre d’échantillons détecté a été multiplié par deux pour atteindre 4 millions de
nouveaux programmes malveillants, mais surtout que les criminels ont lancé leurs malwares
sur le marché par vague à partir du début de l’année 2016. Cela laisse augurer des essais de
nouveaux programmes malveillants ou de nouvelles voies de diffusion. Les pics de cette
évolution correspondent aux mois de janvier, août et octobre 2016. Cependant, le niveau
maximum a été atteint au milieu de l’année, en juin.
16/28
Source https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-
2017.pdf
Source https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2019-
2020.pdf
17/28
Les solutions de protection
Pour chaque menace, il existe une solution de protection. Les menaces d’origines
opérationnelles ont pendant longtemps été endiguées grâce aux antivirus. La majeure partie
de ces produits fonctionnent sur une base de signature (analyse statique), c’est-à-dire qu’ils
ne sont capables de détecter que ce qu’ils connaissent. Avec le temps certains logiciels ont
évolué pour apporter une analyse dite comportementale. Aujourd’hui les plus aboutis
intègrent des détecteurs d’intrusions (IDS : Intrusion Dection System) ou des systèmes de
prévention d’intrusion (IPS : Intrusion Prevention System).
Cependant on peut constater que tous les mois des virus passent encore à travers les systèmes
de sécurité. Pour pallier au problème, le principe de défense en profondeur a été inventé.
18/28
C’est cet ensemble qui a fait fleurir des boitiers de sécurité à tous les niveaux de la part des
éditeurs.
Les WAF (Web Application Firewall) sont apparus pour protéger les différentes applications
comme les sites web. Les pare-feux ont aussi intégré des modules anti-virus.
Les seules requêtes à être traitées par le serveur web sont censées être légitimes.
Cette solution de protection n’est pas infaillible, puisque certaines entreprises ont quand
même été piratées.
Le partenariat entre la gestion des sites et la cellule sécurité reste indispensable. Une
personne extérieure à l’entreprise ne doit pas pouvoir accéder aux locaux sans contrôle.
On estime ainsi à environ 33 000 ordinateurs ainsi perdus ou volés chaque année en France.
Le vol n’est pas la seule menace physique, il y ‘a aussi les dégâts des eaux, la foudre, panne
matérielle… La redondance des applications est alors devenue indispensable. Elle consiste à
disposer plusieurs exemplaires d'un même équipement ou d'un même processus ou de tout
autre élément participant à une solution électronique, mécanique ou industrielle.
19/28
Source : IBM.com
La réplication (copie) des données est effectuée en instantané sur plusieurs serveurs. Si le
serveur A n’est plus disponible, le serveur B prendra la relève.
Plus les systèmes d’information sont devenus sécurisés plus les malfaiteurs se sont orientés
vers le facteur humain. Des techniques d’ingénieries sociales sont apparues. Elles sont une
forme d'acquisition déloyale d'information et d'escroquerie, utilisée en informatique pour
obtenir d'autrui, un bien, un service ou des informations clefs. L’Homme est vulnérable de
façon inconsciente à cause de nombreux biais cognitif.
Une personne (appelons-la Jean), prétendant travailler pour le service facturation, appelle un
"collègue" (la victime) du service client.
Il affirme qu'il est en lien avec une cliente très importante (Marie, par exemple).
La cliente, Marie, demande des informations sur son dossier qu'il ne peut lui indiquer en raison
d'un problème avec son ordinateur. Il n'est donc pas en mesure de la renseigner. Jean demande
alors à son collègue (la victime) s'il peut, par hasard l'aider :
La victime se sent désolée pour "ce collègue qui a besoin d'aide" et fournira sans doute des
données confidentielles à l'imposteur.
À l'entrée de votre entreprise, vous croisez un homme portant des paquets qui semblent lourds.
20/28
Il vous demande de lui ouvrir la porte puisqu'il ne parvient pas à saisir le badge qui se trouve
dans sa poche.
Puisque rien ne vous a semblé suspect, vous ne regarderez sans doute pas où il va, ne le suivrez
pas et ne penserez plus à lui dès qu'il aura quitté votre champ de vision.
Une fois dans l'entreprise, l'intrus peut se diriger vers une salle de conférence, sortir son
ordinateur portable soigneusement caché dans l'un de ses paquets, se connecter au réseau
derrière le pare-feu de l'entreprise et extraire des données. En quelques minutes, il a quitté le
bâtiment avec des données sensibles.
Dans ces deux exemples aucun incident de sécurité ne sera détecté sur le moment, ils seront
déclenchés à postériori une fois les données divulguées.
Seule la sensibilisation des collaborateurs permet d’atténuer le risque. Celle-ci peut prendre
plusieurs formes telles que les fonds d’écran :
21/28
Sous la forme de vidéos :
22/28
Sous la forme de jeux de cartes7 :
Le principe est simple et ressemble à un jeu de bataille en trois manches. L’approche se veut
pédagogue et ludique, basée surtout sur des textes humoristiques, sur le plaisir de jouer et le
questionnement que suscite inévitablement chacune des cartes (notamment les
7
Source : Misc-091 : Faites vos jeux
23/28
caractéristiques et le type de défense/attaque). Ce jeu est très adapté pour sensibiliser une
population familiarisée à l’informatique.
Enfin, nous pouvons aussi la matérialiser sous la forme de séances plénières avec la
présentation des menaces et une démonstration de la compromission d’un ordinateur de la
société. Cette infection peut être réalisée à l’aide d’un fichier Excel exécutant un code
malveillant non détecté par l’antivirus.
D’après le Figaro8 : Deux cents jours, c'est en moyenne le temps nécessaire à une entreprise
pour découvrir qu'elle a été victime d'une attaque informatique.
Bien sûr à condition qu'elle le découvre. À cela s'ajoute le temps de réparation, qui est
presque aussi long. Pourquoi une telle durée ? Parce qu'au fil des années, les attaques se sont
sophistiquées et les objectifs des pirates ont évolué. S'il y a dix ou quinze ans, les hackers
voulaient absolument montrer leurs exploits, ils sont aujourd'hui plus discrets. Le but n'est
plus de « faire un coup » mais de récupérer des données personnelles, financières ou
d'endommager subrepticement un système sans que la victime ne s'en aperçoive
immédiatement. C'est pourquoi, si certaines attaques peuvent être assez rapidement
perceptibles, comme les dénis de service (la saturation du système qui devient inopérant), la
plupart des menaces restent ignorées des utilisateurs. Ce qui peut être extrêmement
dommageable, puisque pendant cette période, l'entreprise risque de se faire voler ses secrets
industriels et surtout peut donner accès, involontairement, aux systèmes de ses fournisseurs
ou de ses donneurs d'ordre.
8
Figaro : le plus ancien quotidien de la presse française encore publié.
24/28
Les profils types en sécurité informatique
Pour commencer une définition du mot « hacker » s’impose :
Le terme Hacker est issu du verbe anglais To Hack qui signifie « découper quelque chose ». Il
fait l’analogie avec la décomposition des étapes en plusieurs parties afin de les réassembler
pour en faire éventuellement quelque chose de nouveau, de plus performant.
Source : https://www.leblogduhacker.fr/qu-est-ce-qu-un-hacker/
La représentation de ce dernier, pas toujours réaliste, telle qu’on nous la présente dans les
médias.
On emploie également les termes « bidouiller » ou « bricoler ». Le hacker est donc avant tout
un « bidouilleur » si on fait abstraction des objectifs qu’il cherche à atteindre.
Il souhaite simplement améliorer son mode de vie en bidouillant quelque chose pour arriver
à ses fins.
Le hacking est le fait de détourner un objet ou une entité de son but premier. Notez par là
qu’on pourrait à nouveau parler de hacking de façon générale pour la vie de tous les jours. Et
non pas juste au sujet de l’informatique.
25/28
Exemple : Avec cette clé à bord rond mis à la place du jeton de caddie
Source : http://life-hack.over-blog.com/2016/12/caddie.html
Hacker
Un white hat (en français : « chapeau blanc ») est un hacker éthique ou un expert en sécurité
informatique qui réalise des tests d'intrusion et d'autres méthodes de tests afin d'assurer la
sécurité des systèmes d'information d'une organisation. Par définition, les « white hats »
avertissent les auteurs lors de la découverte de vulnérabilités. Ils s'opposent aux black hats,
qui sont les hackers mal intentionnés.
Un black hat (en français : « chapeau noir ») est, en argot informatique, un hacker mal
intentionné, par opposition aux white hats, qui sont les hackers aux bonnes intentions. Les
26/28
black hats ont une nette préférence pour les actions illégales. Cela va de la création de virus
aux chevaux de Troie en passant par les vers et les logiciels espions.
Ces personnes utilisent leurs compétences informatiques de façon à en tirer un bénéfice
financier ou bien dans le but de nuire à des individus ou à des organisations (mais dans ce cas
on parle plutôt de cybercriminalité ou de cyberterrorisme9).
Un grey hat (en français, « chapeau gris »), dans la communauté de la sécurité de
l'information, et généralement de l'informatique, est un hacker ou un groupe de hackers, qui
agit parfois avec éthique, et parfois non. Ce terme est employé pour désigner ceux qui se
situent entre hacker white hat et hacker black hat. Un hacker éthique est un professionnel qui
applique ses connaissances dans la légalité et la moralité, un hacker non-éthique par
opposition n'a pas de dogme, ne suit pas de morale, et se permet l'illégalité pour arriver à son
but.
Un exemple courant est une personne qui accède illégalement à un système informatique
sans rien détruire ou endommager (du moins, pas volontairement), et qui ensuite informe les
responsables de ce système informatique de l'existence de la faille de sécurité et émet
éventuellement certaines suggestions pour régler ce problème. Malgré ces bonnes intentions,
cette intrusion est considérée comme un crime dans la plupart des pays. Ainsi, des personnes
ont même déjà été condamnées au niveau criminel pour avoir comblé des trous de sécurité
dans un système informatique auquel elles avaient illégalement accédé.
9
cyberterrorisme : Il peut se définir comme l'ensemble des attaques graves (virus, piratage, etc.) et à grande
échelle, des ordinateurs, des réseaux et des systèmes informatiques d'une entreprise, d'une institution ou d'un
État, commises dans le but d'entraîner une désorganisation générale susceptible de créer la panique
27/28
L’organigramme une fois complété ressemble à cela :
Hacker
SOC : Security
Carder Hacktiviste
Operation Center
Developpeur de
Pentester
virus
Pour chaque profil malicieux qui est apparu, un profil de défense a été créé.
Aujourd’hui ne nombreux métiers existent du côté White Hat. Ces informations seront
l’œuvre d’une prochaine publication.
Pour aller plus loin et découvrir plus en profondeur le monde de la sécurité des systèmes
d’information, vous pouvez vous abonner dès maintenant à ma chaine Youtube Over Shell
https://www.youtube.com/channel/UCDFCQL8l2a4KcEtI7J7lsnw
28/28