Sécurité des Données et contrôle

d’accès aux Big data

Walid Najjar

1
 4. LES MENACES

a) Les sources potentielles de menaces

b) Panorama de quelques menaces
c) Hameçonnage & ingénierie sociale
d) Déroulement d’une attaque avancée
e) Violation d’accès non-autorisé
f) Fraude interne
g) Virus informatique
h) Déni de service Distribué (DDoS)
i) Illustration d’un réseau de botnets

https://www.youtube.com/watch?v=inWWhr5tnEA

2
 4. LES MENACES

a. Sources potentielles de menaces

3
 4. LES MENACES

b. Panorama des menaces

Hameçonnage & ingénierie
sociale
Ransomware

Violation d’accès non autorisé

Fraude interne

Virus informatique

Déni de service distribué

Les spywares

4
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Ransomware

5
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Ransomware

6
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Pour comprendre le fonctionnement des attaques d’ingénierie sociale

imaginez les scénarios suivants:

❖ Approche Personnel:

7
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

❖ Dans une entreprise:

8
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Ingénierie sociale inverse:

9
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Exemple de phishing ciblant les employés d’une entreprise
Ransomware

Ce lien pointe en fait vers un site frauduleux, et non pas

vers un serveur légitime de l’entreprise

10
 4. LES MENACES

d. Déroulement d’une attaque avancée

Ransomware

11
 4. LES MENACES

d. Déroulement d’une attaque avancée

Ransomware

12
 4. LES MENACES

d. Déroulement d’une attaque avancée

Ransomware

13
 4. LES MENACES

d. Déroulement d’une attaque avancée(Exemple)

Ransomware

http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803

14
 4. LES MENACES

e. Fraude interne

Ransomware

15
 4. LES MENACES

e. Fraude interne

Ransomware

16
 4. LES MENACES

e. Fraude interne

Ransomware
Par exemple, dans un cas de fraude interne “classique”, un collaborateur
va usurper l’identité d’un fournisseur et demander au service
comptabilité de modifier les coordonnées bancaires de celui-ci pour
rediriger les règlements vers un compte frauduleux (détournement
d’actifs). Ce peut être aussi un collaborateur qui va réaliser des achats
(téléphone, ordinateur…) sans autorisation de l’entreprise. Ou encore
un collaborateur qui décide de frauder en produisant des notes de frais
erronées, dans l’objectif d’obtenir un gain financier.

17
 4. LES MENACES

e. Fraude interne

Ransomware

18
 4. LES MENACES

f. Violation d’accès non autorisé : mots de passe faibles

Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme « ! » ou « _ »
Ransomware
et des chiffres) permettent – entre autre – à des attaquants de mener les actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe
couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très efficaces
dans le cadre de mots de passe simples, et sont beaucoup moins efficaces dans le cas de
mots de passe longs et complexes.

Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse
significative pour la cybersécurité. En effet, les êtres humains n’ont pas la capacité de
mémoriser de nombreux mots de passe, complexes, différents pour chaque application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les individus
des problématiques des mots de passe. Quelques exemples : la biométrie, les tokens, la
vérification via un code SMS, les « one time password », etc.

19
 4. LES MENACES

f. Violation d’accès non autorisé : intrusion

Ransomware

20
 4. LES MENACES

g. Virus informatique

Ransomware

21
 4. LES MENACES

i. Illustration d’un réseau de botnets

Ransomware

22
 Les attaques réseaux
Une Attaque : n’importe quelle action qui compromet la sécurité des informations.

80% des attaques proviennent de l’interne.

20% des attaques proviennent de l’externe.

Flux normal

source destination

Mascarade Interception

Modification Interruption
« Man in the middle » Déni de service 23
Les attaques réseaux

Buts des attaques

• Interruption: vise la disponibilité des informations

• Interception: vise la confidentialité des informations

• Modification: vise l’intégrité des informations

• Fabrication: vise l’authenticité des informations

24
 Les attaques réseaux
Types des attaques

25
Les attaques réseaux

Attaques passives

Ces attaques ne sont pas visées à la

corruption des données ou des services sur
votre ordinateur. Elles sont effectuées pour
obtenir l'information de votre ordinateur
et estimer les moyens possibles d'intrusion
à distance

26
Les attaques réseaux

Description des attaques :

capture

27
 Les attaques réseaux
Capture du trafic (sniffing)

Les sniffers (appelé aussi «analyseurs de protocoles »

ou « analyseurs de réseau ») sont des outils logiciels
qui peuvent capturer les trames circulant sur un
réseau local et afficher leurs contenus (entêtes des
protocoles, identités des utilisateurs, mot de passe
non cryptés, etc). Ces outils sont utilisés par les
administrateurs pour analyser leurs réseaux et
localiser les problèmes dans ces derniers. Ils sont
aussi utilisés par les attaquants pour espionner les
données circulant dans un réseau local.

28
 Les attaques réseaux
Capture du trafic (sniffing)

Un utilisateur malveillant muni d'un sniffer peut espionner un

réseau et collecter des informations confidentielles des utilisateurs
d'un réseau:

✓ Récupération des login et mots de passe

✓ Ecouter une communication VoIP
✓ Lire les e-mails des victimes

29
Les attaques réseaux
Capture du trafic (sniffing)

30
Les attaques réseaux
Description des attaques :
analyse de trafic

31
 Les attaques réseaux

analyse de trafic

L'attaque par analyse du trafic désigne les

méthodes permettant de tirer des informations
de flux de communication de tout type
(émissions radio, trafic internet, mais
également courrier papier, rencontres entre
agents…) sans nécessairement avoir accès au
contenu des messages échangés (notamment
lorsque les messages sont cryptés).

32
 Les attaques réseaux

analyse de trafic
Principe:

L'attaquant en interceptant des éléments sur la

communication entre ses cibles peut déduire des indices
sur leur activité. Plusieurs données peuvent être
étudiées par exemple :

•fréquence et volume des communications : un trafic

important peut indiquer un regain d'activité, la
préparation d'une action. Inversement une baisse du
trafic peut indiquer une diminution des ressources, une
mise en sommeil de certaines cellules.

33
 Les attaques réseaux

analyse de trafic
Principe:

•distribution des messages : une analyse expéditeur-

destinataire peut donner des indications sur
l'organisation de l'adversaire, par exemple une
distribution descendante des messages ou l'existence de
nœuds correspondant à de nombreux destinataires peut
permettre d'identifier une chaîne de commandement.
•des va-et-vient rapides de messages peuvent indiquer
une négociation.
•l'évolution des indicateurs peut donner des indications :
par une diminution brutale des communications peut
indiquer que l'adversaire soupçonne être surveillé et a
choisi de limiter ses communications ou a choisi de
basculer celle-ci sur d'autres modes. 34
Les attaques réseaux

Attaques actives

Ces attaques visent à pénétrer à distance

dans votre ordinateur, en volant des
données ou exécutant des exploits afin de
perturber le fonctionnement normal du
système d'exploitation

35
Les attaques réseaux
Description des attaques :
Masquarade

36
 Les attaques réseaux

Masquarade

un type d'attaque usurpation où l'attaquant se

fait passer pour une personne ou un
périphérique réseau dont il est pas. Les
adresses e-mail, des URL, et les périphériques
réseau, tels que les routeurs, peuvent tous être
falsifiés. Mascarade attaques réussissent
souvent parce que les gens voient ce qu'ils
attendent de voir

37
Les attaques réseaux
Description des attaques :
Rejeu

38
 Les attaques réseaux

Rejeu

Une attaque par rejeu (en anglais, replay

attack ou playback attack) est une forme
d'attaque réseau dans laquelle une
transmission est malicieusement répétée par
un attaquant qui a intercepté la transmission.
Il s'agit d'un type d'usurpation d'identité.

39
Les attaques réseaux

Description des attaques :

modification ("man in the middle")

40
 Les attaques réseaux

modification ("man in the middle")

L'attaque de l'homme du milieu (HDM) ou man-

in-the-middle attack (MITM), parfois
appelée attaque de l'intercepteur, est une
attaque qui a pour but d'intercepter les
communications entre deux parties, sans que ni
l'une ni l'autre ne puisse se douter que le canal
de communication entre elles a été
compromis.

41
Les attaques réseaux

Description des attaques :

Déni de service ("DoS")

42
 Les attaques réseaux

Déni de service ("DoS")

Une attaque par déni de service ( DoS

attack pour Denial of Service attack en anglais)
est une attaque informatique ayant pour but de
rendre indisponible un service, d'empêcher les
utilisateurs légitimes d'un service de l'utiliser.

La grande majorité de ces attaques se font à

partir de plusieurs sources, on parle alors
d'attaque par déni de service distribuée
(DDoS attack pour Distributed Denial of Service
attack).
43
 Les attaques réseaux

Déni de service ("DoS")

Une attaque par déni de service ( DoS

attack pour Denial of Service attack en anglais)
est une attaque informatique ayant pour but de
rendre indisponible un service, d'empêcher les
utilisateurs légitimes d'un service de l'utiliser.

La grande majorité de ces attaques se font à

partir de plusieurs sources, on parle alors
d'attaque par déni de service distribuée
(DDoS attack pour Distributed Denial of Service
attack).
44
 Les attaques réseaux

attaque Type Définition Exemple

Modification (man-
in-the-middle)
Masquarade
Capture de
trafic(sniffing)
Déni de service
(DOS)

45
attaque Type Définition
Modification (man- Active attaque qui a pour but
d'intercepter les
in-the-middle) communications entre deux
parties, sans que ni l'une ni
l'autre ne puisse se douter
que le canal de
communication entre elles a
été compromis
Masquarade Active un type d'attaque usurpation
où l'attaquant se fait passer
pour une personne ou un
périphérique réseau dont il
est pas
Capture de Passive Utiliser des outils de capture
de trafic par les attaquants
trafic(sniffing) pour espionner les données
circulant dans un réseau local
Déni de service Active attaque informatique ayant
pour but de rendre
(DOS) indisponible un service,
d'empêcher les utilisateurs
légitimes d'un service de
l'utiliser
Exemple
Spoofing DNS: L'usurpation d'identité
(Domain Name Server) consiste à
modifier l'enregistrement d'un site
Web dans un DNS. Cela conduit
l'utilisateur à un faux site Web. Ne
s'en rendant pas compte, l'utilisateur
interagit avec le site Web comme il le
ferait normalement et l'attaquant
essaie de collecter les informations
de connexion au cours du processus.
Si un utilisateur légitime laisse le
terminal ou la session ouverte et
connectée, un collègue peut agir
comme un attaquant masqué
-Analyseurs de réseaux
-Sondes
envoyer 10 Gb/s depuis une même
adresse IP / machine vers un serveur
web cible pour saturer sa connexion
réseau qui ne serait, par exemple,
que de 1 Gb/s et causer par la suite
l’inaccessibilité à ce site.
46