Upload
danghuong
View
224
Download
2
Embed Size (px)
Citation preview
IntroductionPanorama des menacesPanorama des attaques
Legislation
Cours 2 : Menaces et attaques
Odile PAPINI
ESILUniversite de la [email protected]
http://odile.papini.perso.esil.univmed.fr/sources/SSI.html
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Plan du cours 2
1 Introduction
2 Panorama des menaces
3 Panorama des attaques
4 Legislation
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Intoduction
Que proteger ?
De quoi les proteger ?
Quels sont les risques ?
l’entreprise ?
Liste des menaces
DEMARCHE NORME ISO 17799
Liste des biens a proteger
Liste des impacts et probabilites
Liste des contre-mesuresComment proteger
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Les menaces :
accidents
erreurs
malveillance
typologie des incidents norme ISO 17799
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
pertes de services essentielspannes d’origine interne
accidents evenements naturelsaccidents physiques
erreurs de conceptionerreurs erreurs d’utilisation
vols ou disparitionsinfection par virus
divulgationsattaques logiques
actes de denigrement ou atteinte a l’imagemalveillance sabotages physiques
intrusions sur les SIfraudes informatiques
chantage, extorsion informatiqueintrusions, acces par un dispositif sans fil
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Accidents
incendie, explosion, implosion
degat des eaux
probleme d’integrite du batiment
catastrophes naturelles
pannes
internes (composant)logiciel de baseexternes (ex : climatisation, alimentation, · · · )
arret de services (EDF, Telecommunications, eau, · · · )
choc, collision, chute, pollution, rayonnement, · · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Erreurs
erreurs de saisie, de transmission de donnees
erreurs d’exploitation
erreurs de conception dans la realisation ou la mise en oeuvredes :
logicielsprocedures
disponibilite des personnes
· · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Malveillances
ce que l’on voit
ce que l’on connaıt
ce que l’on ne connaıt pas
ce que l’on ne peut pas imaginer
la malveillance n’est pas toujours visible
il est toujours possible de destabiliser un site :
refus de service
inondation : saturation par envoi de courrier electronique
blocage de compte par tentatives repeteees de connexioninfructueuse
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Malveillances (suite)
fraude, sabotagedetournement a son avantage (versement, chantage, extorsion,· · · )sabotage immateriel (destruction dans le seul but de nuire)denis de service
indiscretion ou ecoute de lignedetournementcopie de messageespionnage
actions indesirablesspams ou inondationstockage ”pirate”
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Malveillances (suite)
actions + ou - mal intentionnees
curiosite, jeu, · · · )decodeur canal+craquage de codes (cartes credits, · · · )
piratage de logiciel
craquage de securitecopie illicitegravage
menaces dues aux telecommunications
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Malveillances (suite)
Menaces dues aux telecommunications
interruptions de service ou disfonctionnement
alteration des donnees transmises
usurpation d’identitee
divulgation d’informations a un tiers
action malveillante transmise
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Problemes de l’imputabilite, de la repudiation, de laresponsabilite
lorsqu’un probleme intervient, comment prouver :
que cela a ete envoye ?qui l’a envoye ?qu’il a ete recu ?par qui ? et par qui d’autres ?qui a fait l’erreur ?qui est proprietaire du support de communication ?qui peut en etre garant ?
questions fondamentales lors d’un litige
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Problemes de l’imputabilite, de la repudiation, de laresponsabilite
elements de reponses :
identification(identifiant ↔ entite)
autentification(garantir l’identifiant)
chiffrement
le scellement informatique
accuse de reception
tunnel de donnees
· · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Desinformation, propagande, destabilisation, credulite
falsification des sons, des images, des videos
veracite de l’information
d’ou vient l’information ?qui l’a fournie ?apres ”vu a la tele”, ”vu sur internet” ?
Quelles consequences ?
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Evolution des menacesquelques chiffres (sources CLUSIF)
accidents 24% :en baisse (effets materiels palpables)
erreurs 14% :en forte baisse (amelioration de la qualite des logiciels)
malveillance 62% :en forte hausse (en progression constante)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des menaces
Evolution des menaces aspect politico-economique
jusqu’a la fin des annees 1980 : contexte de guerre froide
aspect militaire de la securite : regles du jeu claires :
qui menace ?que proteger ? : les informations sensiblescomment les proteger ?
aujourd’hui : contexte de guerre economique
menaces tout azimut :
qui : le concurrent, le terroriste, · · ·quoi : toutes les informations de l’entreprisecomment : les reseaux, les intervenants exterieurs, les virus, · · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales
attaques techniques
attaques classiques
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Porte derobee (backdoor)
Fonction d’un programme non autorisee et qui ne participe en rienaux objectifs officiels d’un programme
a priori malveillante
d’aucune utilite autre que pour son concepteur
s’execute a l’insu de l’utilisateur
exemples : SGBD Interbase 2001, Linux 2003
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Porte derobee (backdoor) exemples
SGBD Interbase 2001
nom d’utilisateur : politically, mot de passe : correct
Linux 2003
2 lignes de C dans la fonction sys-wait4
if ((options == ( WCLON | WALL)) && (current->uid = 0))
retval = -EINVAL ;
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Cheval de Troie (Tojan)
Programme, jeu, commande ayant une fonction annoncee et enrealisant une autre (illicite)
attaque classique
s’execute a l’insu de l’utilisateur
exemple 2005 : cheval de troie envoye par email ou integre a unCD contenant une fausse proposition commerciale.Une fois installee et contre 3000 euros, le concepteur fournissait ason client une adresse IP, un nom d’utilisateur et un mot de passepour acceder au PC de sa victime
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Cheval de Troie exemples
Back Orifice : logiciel d’administration et de prise de controlea distance de machines utilisant WindowsSubseven : l’un des chevaux de troie les plus connus, en 2000il a intoduit :
surveillance par camera (Webcam capture)surveillance en temp reel du bureau Windows (DesktopCapture)le vol de mots de passe (Recorded Password) par lequelsubseven detecte les ecrans de demande de mot de passe(Windows, Internet · · · )permet la capture-clavier (Keylogger) pour recuperer lesnumeros de cartes de credits
autres chevaux de Troie : ByteVerify, XXXDial, · · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Bombe logique
Action malveillante generalement differee
chantage
racket
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Virus
programme illicite qui s’insere dans des programes legitimesappeles hotes
se reproduit automatiquement, se transmet, peut avoir desactions retardees
se repand au travers d’internet, de disquettes, de cles USB
analogie avec la biologie : contagion
virus systeme, virus resident en memoire,
virus programme, virus macro,
virus polymorhe ou mutant, virus de scripts
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Virus exemple
Tchernobyl ou CIH
Yamanner
Cabir
...
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Vers (worm)
Processus parasite qui consomme, detruit et se propage sur lereseau
n’a pas besoin d’un programme hote pour se reproduire(contrairement au virus)
se reproduit par ses propres moyens sans contaminer deprogramme hote
souvent ecrits sous forme de script integres dans un courriel,une page html
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Vers (worm) exemples :
”internet worm” en 1988 atteinte de millers de stations Unixen 24h
le fameux ”I Love you”
Bagle
SQL Slammer
Santy
...
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques virales : Canular (Hoax)
messages diffusant de fausses alertes au virus
messages diffusant des rumeurs
encombrement des boıtes aux lettres
encombrement du reseau
ralentissement de l’activite
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Hameconnage (Phishing)
piegeage de l’utilisateur en lui faisant croire qu’il s’adresse a untiers de confiance pour lui soutirer des informations confidentielles(mot de passe, no de carte de credit ...)
on lui demande son mot de passe
on lui demande de le changer
exemple : services bancaires en ligne, sites de ventes auxencheres (Ebay)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Hameconnage (Phishing) exemple
l’utilisateur reoit un message :
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Hameconnage (Phishing) exemple
il va cliquer sur le lien
il croit qu’il se connecte sur le site LCL
il saisit des informations confidentielles
MAIS il ne se connecte sur un faux site LCL et un piraterecupere ces informations
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Hameconnage (Phishing)rapport APWG (2006-2007)
37 444 sites frauduleux signalesnombre d’attaques par hameconnage :
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Craquage (Cracking)
craquage de mot de passe
a l’aveuglette
comparaison du chiffrement de mots de passe supposes et demots chiffres dans le fichier /etc/passwd ou /etc/ypasswd
exemple : craquage de de jeux ou de logiciels
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Renifflage (Sniffing)
analyse du traffic pour recuperer mots de passe etinformations confidentielles
sondes placees sur le reseau pour ecouter et recuperer desinformations a la volee
solutions : protocoles de communication securises (ex SSH, SSL)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Mascarade (Spoofing)
utilisation de l’adresse IP d’une machine afin d’en usurperl’identite.
recuperation de l’acces a des informations en se faisant passerla machine dont elle a usurpe l’adresse IP
creation de paquets IP avec une adresse IP sourceappartenant a quelqu’un d’autre
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Smurfing
attaque du reseau IP
envoi d’un message a une adresse fausse
provoque la saturation et le blocage du reseau
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Piratage telephonique (Phreaking)
utilisation du reseau telephonique d’une maniere non prevue parl’operateur, afin d’acceder a des fonctions speciales, en generalpour ne pas payer les communications et rester anonyme
exemple : Captain Crunch
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Composeur d’attaques (Dialer)
logiciel balayant une serie de numeros de telephones a la recherched’un ordinateur distant
Le logiciel compose des numeros de telephone dont le cout d’appelest surtaxeexemple : annees 1990, (besoin d’un MODEM)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Rootkit
programme ou ensemble de programmes permettant de maintenirdans le temps un acces frauduleux a un SI
s’utilise apres une intrusion et l’installation d’une portederobee
fonction principale : camoufler la mise en place de plusieursportes derobees
opere des modifications sur les commandes systemes
l’installation d’un rootkit necessite des droits d’administrateur
exemple : octobre 2005 Rootkit SONY-BMGOdile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Denis de service (DoS)
rendre une application informatique incapable de repondre auxrequetes des utilisateurs
types d’attaques nombreux :
debranchement de la prise d’un serveur
saturation d’un element charge d’animer l’application
exemple : bombe fork
Denis de service distribues (DDoS)
repose sur la parallelisation d’attaques DoS menees simultanementpar plusieurs systemes
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques techniques : Robots
programmes malveillants permettant une prise de controle adistance de machines vulnerables afin de former un reseaud’attaque cache (botnet)
pour s’implanter le robot utilise une methode classique
il peut etre depose sur la cible par spam, vers, virus, cheval detroie ...il peut posseder son propre module de propagation et exploite :
une vulnerabilitedes partages ouverts (open share)des mots de passe faibles ou manquants
exemple : Hollande octobre 2005 (rapport CLUSIF)
Denis de service distribues (DDoS)Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybersurveillanceReseau d’ecoute Echelon (USA +UK)
technologies interceptees
1956 : signaux radio HF
1965 cables sous-marins
1968 micro-ondes
1970 satellites
1980 reseaux digitaux
1990 fibres optiques
2000 internet / portables
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybersurveillanceReseau d’ecoute Echelon (USA +UK)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybersurveillanceReseau d’ecoute Echelon (USA +UK)
objectif officiel : lutter contre
terrorisme
grand banditisme
MAIS aussi : intrusion/interception
espionnage industriel
politique
vie privee
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybersurveillanceAutres reseaux d’ecoute
Frenchelon & ESSAIM (francais)
Nice Track (belge)
Magic Lantern (FBI)
SORM (russe)
· · ·
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybersurveillanceFrenchelon & ESSAIM
cree en 2003
surveillance radar, radio
orbite 680 km d’altitude
4 microsatellites sur des orbites perpendiculaires
station de controle a Toulouse
LSI ou loi Sarkosy II (mars 2003)
conservation des donnees relatives au trafic sur Internet ! ! !
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
attaques classiques
vol
detournement
destruction
sabotage
chantage
exemples : (rapport CLUSIF 2005)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2005)
vols de code source
chantage, extorsion, racket sur Internet
cyberterrorisme
menaces sur la mobilite (telephones)
hameconnage
economie souterraine
espionnage industriel
vols et pertes de donnees, d’ordinateurs, de supports desauvegarde
harcelement
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2006)
panorama 2006
les mules
vols d’identite
SPIT nouvelles opportunites de ”spamming”
manipulation du cours de la bourse
vulnerabilites et attaques ”0-Day”
ecoutes et enquetes a haut risque
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008)
panorama 2007
mondes virtuels
attaques en reputation
piratage pour focaliser l’attention
espionnage industriel
reseaux sociaux : nouvelles opportunites de malveillance
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008)
panorama 2007
sophistication des attaques
enjeux malveillants sur le e-commerce
fraude aux cartes bancaires via internetescroqueries via les sites d’encheres
faits marquants
“cyber-guerre” en Estonie“cyber-attaques” chinoises
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
les mondes virtuels ont des monnaies virtuelles
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
piratage sur les mondes virtuels :
chevaux de Troie, vol de mot de passe
virus
hammeconnage (phishing)
exploitation de tiers (farming)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
chevaux de Troie, vol de mot de passe
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
virus
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
hammeconnage
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
exploitation de tiers
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008) : Les mondes virtuels
fournisseurs et editeurs dont il faut se mefier
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008)
panorama 2007
attaques en deni de service (DoS ou DDoS)
CastleCopsorganismes de lutte anti-spam et anti-phishing
attaques en reputation
CastleCops : donations frauduleuses
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008)
panorama 2007 : attaques en reputation : donations frauduleuses
virements Paypal effectues au profit de CastleCops
source des donations : comptes bancaires pirates par phishing
montant des donations : 1 a 2800 US $
CastleCops : coupable designeimage altereeperte de temps, de moyens, d’argent
verifications, comptabilite, remboursementsactions en justiceblocage de compte
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008)
panorama 2007 : espionnage industriel
volume d’affaires d’espionnage industriel ne faiblit pas
espionnage industriel : employes de l’entreprise
2 grandes affaires dans le monde de la Formule 1 en 2007
Mc Laren et FerrariRenault-F1 et Mc Laren
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
cybercriminalite (CLUSIF 2008)
panorama 2007 : reseaux sociaux : opportunites de malveillance
nombreux reseaux sociaux sur internet (Classmates, Facebook,Myspace etc..)
pour certains d’entre eux : des millions d’inscrits
possibilites d’attaques
acces frauduleux : Facebook 2007impostures : Myspace 2007infections : Myspace 2007
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
Les clubs,observatoires associations, sites internet
CLUSIF, CLUb de la Securite Informatique en Francehttp ://www.clusif.asso.fr
OSSIR, Observatoire de la Securite des systemesd’Information et des Reseauxhttp ://www.ossir.org
CRU, Centre des Reseaux Universitaireshttp ://www.cru.fr
CNRS et UREC, Unite des Reseaux du Cnrshttp ://www.cnrs.fr/Infosecu
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
loi informatique et libertes no 78-17 du 6/01/78 relativea l’informatique et aux libertes (modifiee en 92 et en 93)
loi relative a la fraude informatique 92-957 du 01/07/92
loi relative aux infractions aux regles de cryptologie du29/07/81, modifiee le 26/07/96, modifiee le 17/03/99
decret no 99-199 du 17/03/99 definissant les categories demoyens et de prestations de cryptologie pour lesquelles la procedurede declaration prealable est substituee a celle d’autorisation
decret no 99-200 du 17/03/99 definissant les categories demoyens et de prestations de cryptologie dispensees de toute formaliepealable
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
loi sur la signature electronique 200-230 du 13/03/00
l’ecrit electronique signe a la meme valeur que l’ecrit signe surpapierequivalence papier electronique en presence de signaturela signature electronique ”jusqu’a preuve du contraire” authentifie lesignataire et garantit l’integrite du document (article 4) Loi sur lasignature electronique 200-230 du 13/03/00revient a faire confiance a l’organisme qui fournit la signatureelectronique
loi de reglementation des telecomunications du26/07/96
regles au niveau europeen
lignes directrices au niveau mondial (OCDE)
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
Criminalite des hautes technologies (OCLCTIC)
criminalite informatique (definitions)toute action illegale dans laquelle un ordinateur est l’instrument oul’objet d’un delit (delit dont le moyen ou le but est d’influencer lafonction de l’ordinateur)tout acte intentionnel associe d’une maniere ou d’une autre a latechnique informatique dans laquelle une victime a subi ou aurait pusubir un prejudice et dans laquelle l’auteur a tire ou aurait puintentionnellement tirer profit
cybercriminaliteensemble des infractions penales susceptibles de se commettre surdes reseaux de telecommunications en general et plusparticulierement sur les reseaux partageant Internet
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
Code penal
article 323.1acceder frauduleusement a un systeme de traitement automatise del’information
article 323.2entraver ou fausser un systeme de traitement automatise del’information
article 323.3introduire frauduleusement des donnees dans un systeme detraitement automatise de l’information
conduit a un delit penal passible de :3 ans d’emprisonnement50 000 euros d’amende
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
Quelques sites
http ://www.journal-officiel.gouv.fr
http ://www.legifrance.gouv.fr
http ://www.jurifrance.gouv.fr
http ://www.justice.gouv.fr
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
Quelques organismes officiels
CNIL : http ://www.cnil.fr
DCSSI : http ://www.ssi.gouv.fr
CESTI
OCLCTIC : http ://www.interieur.gouv.fr/police/oclctic
ART : http ://www.art-telecom.fr
CERT
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
CNIL : Commission Nationale de l’Informatique et desLibertes (http ://www.cnil.fr)
ses missions :
recenser les fichiers en enregistrant les demandes d’avis et lesdeclarations, en tenant a jour et en mettant a disposition du public le”fichier des fichiers”
controler en procedant a des verifications sur place
reglementer en etablissant des normes simplifiees pour les traitements lesplus courants et les moins dangereux
garantir le droit d’acces en exercant le droit d’acces indirect, enparticulier au fichier des Renseignements Generaux
instruire les plaintes
informer les personnes de leurs droits et obligations, conseiller, proposerdes mesures
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
Loi Informatique et des Libertes : droits et obligations
Tout traitement automatise d’informations nominatives doit,avant sa mise en oeuvre, etre declare ou soumis a la CNILafin :
de responsabiliser les utilisateurs de donnees nominatives
de permettre a la CNIL de controler et d’influencer les choix effectues
reglementer en etablissant des normes simplifiees pour les traitements lesplus courants et les moins dangereux
d’assurer grace a la publicite a laquelle elles donnent lieu, la transparencenecessaire a l’exercice des droits des personnes concernees par lestraitements
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
Nature des formalites
un regime d’avis pour le secteur public : les traitements publics sontcrees par un acte reglementaire apres avis motive de la CNIL
un regime declaration pour le secteur prive
un regime declaration simplifie pour les traitements les plus courants,publics ou prives
exemple :
quel sera la finalite du fichier ?
quelles informations vont etre enregistrees, pendant combien de temps ?
qui y aura acces ?
a quel service les personnes peuvent-elles s’adresse pour exercer leur droitd’acces ?
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
DCSSI : Direction Centrale de la Securite des Systemesd’Information (http ://www.ssi.gouv.fr)
depend du premier ministre
ses missions :
evaluer les procedes de chiffrement, les produits et systemes
agreer les equipements, produits, · · · utilises pour le traitement desdonnees classees defense
proceder a l’agrement des CESTI
certifier les produits evalues par les CESTI
instruire les demandes autour de la cryptologie
elaborer et distribuer les cles de chiffrement pour le secteur public ouprive
participer aux actions de normalisation
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
les CESTI : Centres d’Evaluation de la Securite desTechnologies d’Information
centres publics ou privesmissions :
evaluer evaluer de facon independante et suivant des rgles deschemas fournis les produits en vue de la certification DCSSI
proposer de l’expertise
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
OCLCTIC : Office Central de Lutte Contre la Criminalite lieeaux Technologies de l’Information et de la Communication
(http ://www.interieur.gouv.fr/police/oclctic)depend de la Police Nationale
double mission :
operationnelle
realisation d’enquetes judiciaires de haut niveau techniquemenees d’initiative ou a la demande des magistratsassistance technique a l’occasion d’enquetes menees pard’autres Services (pedophilie, prostitution,trafic de stupefiants,· · · )
strategique
formation, animation et coordination de l’action des autresservices rpressifs, competents en matiere d’infractions liees auxtechnologies de l’information et de la communicationcooperation internationaleOdile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
ART : Autorite de Regulation des Telecommunication(http ://www.art-telecom.fr)
liens entre l’ART et l’informatique
vecteur de transport de l’information
reseaux metropolitains, inter-regionaux, inter-entreprises, · · ·→ fournisseurs indirects de telecommunication
loi de reglementation des telecommunications du 26/07/96 etablit unenouvelle repartition des missions de regulation au sein de l’etat avec lacreation d’une autorite administrative autonomemissions :
favoriser l’exercice au benefice des utilisateurs d’une concurrenceeffective, loyale et durable
veiller au developpement de l’emploi, de l’innovation et de lacompetitivite dans le secteur des telecommunications
prendre en compte les interets des territoires et des utilisateurs dansl’acces aux services et aux equipementsOdile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
les CERT : Computer Emergency Response Teams
groupes au service d’une communaute identifieeRenater (Reseau National Technologie EnseignementRecherche)
missions :
reagir efficacement et au plus vite sur les problemes de securite
competence techniques pointuespoints de contact en cas de problemerelations avec les autres organismesvolonte de prevention
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Legislation
les CERT : Computer Emergency Response Teams
3 CERT en France
CERT Renater (enseignement, recherche)http ://www.renater.fr/Securite/CERT Renater.htmCERT A (administration)http ://www.ssi.gouv.fr/rubriq/certa.htmCERT IST (Industrie, Services, Tertiaire)http ://www.ssi.gouv.fr/rubriq/certa.htm
coordination europenne
TF-CSIRT
organisation mondiale des CERT : FIRST
FIRST : Forum of Incident Response and Security Teamhttp ://www.first.org/les 3 CERT francais sont integres dans le FIRST
Odile PAPINI Securite des Systemes d’Information
IntroductionPanorama des menacesPanorama des attaques
Legislation
Panorama des attaques
Les solutions (prochains cours)
materielles :
firewall
proxy
protocoles securises, · · ·
logicielles :
politique de securite
controle d’acces
anti-virus
anti-spyware
systemes de detection d’intrusion
utilisation de la biometrie
Odile PAPINI Securite des Systemes d’Information