Cours1 Intro

Introduction a la Securite informatique


For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor

Kaouthar Sethom Ben Reguiga


Introduction

Systeme d’information (definition)

Le systeme d’information comprend les materielsinformatiques et les equipements peripheriques, les logicielset microprogrammes, les algorithmes et specificationsinternes aux programmes, la documentation, les moyens detransmission, les procedures, les donnees et les informationsqui sont collectees, gardees, traitees, recherchees outransmises par ces moyens ainsi que les ressources humainesqui les mettent en oeuvre.

Securite des Systemes d’Information


Introduction

L’information numerique est vulnerable

peut etre detruite, amputee, falsifiee, modifiee

pas d’original, ni de copies mais des clones ou la reproductionest a l’identique

L’information numerique est volatile

peut etre ajustee, personnalisee

un document generique peut etre particularise pour undestinataire specifique

un logiciel general peut etre ajuste selon le contexte ou cibleselon un usage specifique


Qu’est-ce que la securite

D’un premier point de vue :s’assurer que rien de “mauvais” arrivereduire les chances que quelque chose de “mauvais” seproduiseminimiser l’impact des “mauvaises choses”fournir les elements necessaires pour se remettre des“mauvaises choses”

D’un autre point de vue :autoriser les “bonnes choses” a arrivergestion du cout du systeme

Exemples :securite de la maisonsecurite de la voiture


Security Challenges

securiser une variete de systemes differentssecuriser les interfaces entre differents systemesbesoins et buts de securite differentsrentabiliser le maintien du systemeles securitaires doivent proteger tous les liens du systemel’attaquant cherche la plus faible liaison dans le systemegarder les couts de securite sous controle


:


Menaces et Attaques

acces non autorisesperte d’integrite du systemedeni de servicevirus informatiquecheval de Troieperte d’informationsfuite de donneesmanipulation de donneesfraude de donneesvol de donneesdestruction de donneesmanipulation de programmes



Quelques breches de securite

En 1988, l’attaque “worm” menee par l’etudiant deCornell, Robbert Morris Jr., a infecte des milliersd’ordinateurs, causant leur arret.En 1994, une fraude de 10,4 millions de dollars menee parun groupe russe contre la Citybank.En 1996, les pages web de la USA DOJ et de la CIA ontete modifiees par des vandales.dans les annees 2000, des millions d’attaques sur lesgouvernements, societes, instituts financiers, ... chaqueannee (la plupart sont irresolues et non mentionnees).


Ecoute et packet sniffing (analyseur de reseau)

Description : acquerir de l’information sans la changerMoyens : packet sniffers, routeurs, capture et filtrage depaquetsMenaces : Sniffing peut etre utilise pour recuperer diversesinformations envoyees sur le reseau

login + passwordnumero de carte de creditmails et autres messagesanalyses de trafic


Snooping (fouineur)

Description : acquerir de l’information sans la modifierMoyens : examiner des documents contenus dans le disqueou la memoire principale

utilisation de privileges legitimes (inites)piratage informatique de systeme (exclus)vol d’ordinateurs portablescontrole des frappes clavierobservation du temps d’information (canal secret)

Menaces :obtenir des informations sensibles (fichiers contenant desnumeros de carte de credit)retrouver les mots de passe, les cles secretes, etc.


Falsification

Description : modification ou destruction de donneesstockeesMoyens : les inities utilisent a mauvais escient les privilegeset les exclus font irruption dans le systemeMenaces :

changer les archives, les categories scolaires, les dettes (13million de fraude sur les dettes a NY)effacer des protocoles d’auditcheval de Troie pour obtenir le mot de passe, et d’autresutilisations


Spoofing (parodie)

Description : se faire passer pour d’autres utilisateurs ouordinateurs afin d’obtenir des privilegesMoyens :

vol de compte, deviner le mot de passe, ingenierie socialeIP spoofing : contrefaire des e-mails, fausse adresse IP,detournement des connections IP

Menaces :messages contrefaits (“l’annulation de l’examen” deDartmouth)deni de service (attaques IP, attaque SIN, Ping-of-Death)information sniffing (attaque “WWW Spoofing” dePrinceton)


Brouillage

Description : mise hors service d’un systeme ou d’un serviceMoyens : engagement d’hote dans de nombreuses activites(legitimes) jusqu’a epuisement de ses ressources ; spoofingretourne des adresses pour eviter les tracesMenaces :

consommer toutes les ressources des machines attaquees, parexemple, memoire (attaque SYN), disque (attaque d’e-mail)exploiter les bugs pour arreter les hotes (ping-of-death)


Injection de code

Description : injection de code malveillant pour executersur l’hote avec de hauts privileges et infecter d’autres hotes.Moyens :

virus : attaches a l’executable, etendu par des CD infectes,fichiers joints a un e-mail.ver : dupliquer sur internet

Menaces :toutes ...


Le virus Melissa

sur les e-mails, menee vers fin mars 1999Sujet : Important Message From < name >Corps :Here is that document you asked for . . . don′t show anyone else ;−)+ensemble de liens pornographiquesPieces jointes : fichier word avec des macros infectes

registres eux-memes, pour eviter la duplicationmodifier le fichier Normal.dotenvoyer des e-mails aux 50 premieres adresses du carnetd’adresses ¿Outlook

quand la date+mois coıncide avec heure+minutes, inserer“twenty-two points, plus triple-word-score, plus fifty pointsfor using all my letters. Game’s over. I’m outa here.”Impact : en moins de 3 jours, plus de 100,000 hotes.Certains devant eteindre a cause de la taille des e-mails.


Defauts d’exploitation

exploiter la vulnerabilite des logiciels pour penetrer lessystemes

buffer overflow (par ex, internet worm, web site apps)defaut des codes de securite mobiles (java, ActiveX)mauvaise ergonomie (logins des administrateurs Unix,sendmail)

La connaissance s’etend plus rapidement que le remedebulletins de piratage informatiqueConseils

des kits de logiciels publiquement disponibles pour detecterdes vulnerabilites connues, par ex. SATAN, ISSmais ils ne sont pas toujours aisement suivis et sontsouvant utilises a l’avantage des pirates informatiques

des kits de piratage disponibles publiquement sur le net, parex. RootKit (Unix)


Password and key cracking

Deviner : noms des membres de la famille, numeros detelephone, etc.Attaque par dictionnaire : recherche systematique

Crack : attaque par dictionnaire etendue avec des modelescommunsle craquage est maintenant utilise par les administrateurssysteme et les programmes de mots de passe

Recherche exhaustive :outils de cryptanalyse se developpent continuellementinternet fournit une ressource massive de calcul parallele

cryptanalyse, mauvais generateurs, analyse du tempsKocher : decouvrir la cle au moment ou elle est utilisee pourchiffrer

craquage de cartes a puce par injection de fautes


Ingenierie sociale

Spoofing un “systeme reel” :ecran d’identificationnumeros de telephonehistoire des DAB (distri auto billet)

Spoofing un “service” :vol de cartes de credit et de codes PINvol de mots de passe

Attaque de l’homme du milieu :impression speciale de journauxrouteur, tableau d’affichage, etc.


Hackers - Qui sont-ils ?

Chercheurs academiques :universites et laboratoires de recherchedeveloppement et analyse de systeme

Consultant hackers :employes par les compagnies pour identifier les failles dessystemes

Hackers independants :travaillent individuellement pour identifier les failles dessystemesleurs motivations sont sociales ou personnelles

Hackers criminels :de l’autre cote de la loileurs motivations sont essentiellement financieres oupolitiques

Hackers amateurs :obtention des outils et des codes (internet, hackersprofessionnels)non professionnels (ils laissent des traces)


Piratage politique

Motivations :raisons politiquesespionnage industrielespionnage militaireinformation de guerre

Ressources :quasi illimitees

Risque :depend du pays



Piratage commercial

Motivations :obtenir des avantages d’affairecauser des pertes directes ou indirectes

Ressources :limitees par le gain potentiel

Risque :poursuite legale

Exemples :changement d’ingenierie, rupture de service


Piratage financier

Motivations :gain monetairevol de ressources

Ressources :individus isoles (faibles ressources mais ils ont descompetences)crime organise (ressources financieres abondantes)

Risque :individus cibles ou organisationsconsidere pour etre bas

Exemples :telephone, tv, sites web, numero de CB


Piratage individuel

Motivations :employes mecontentscuriositechallenge intellectuelvandales

Ressources :ressources raresgrande communaute

Risque :erreurs non vouluesquasi aucun mais aux frontieres de la loi


Sources d’informations des pirates

groupes :alt.2600Cult of Dead Cow (CDC)

Magazines :Phracksites web

Conferences :DefCon

CERT :Computer Response Emergency Team newsgroups


Mise en place d’une politique de securite (PSI)

liens sensibles

menaces

impacts

mesures a adopter

55% des entreprises sont dotees dune PSI (source : rapportCLUSIF 2008)


Mise en oeuvre d’une politique de securite :

systeme d’authentification (biometrie, serveur d’authentification , · · · )

chiffrement (PKI, mecanismes integres a des protocoles decommunication (IPsec), · · · )

pare feux (firewall)

systeme anti-virus

outil de detection de failles de securite

systeme de detection d’intrusions

systeme d’exploitation securise

· · ·

Odile PAPINI



Les normes ISO 17799, ISO 27002

Normes internationales concernant la securite del’information les plus recentes

norme ISO 17799 : differentes versions

norme ISO 17799 : 2005 de juin 2005 a juin 2007

norme ISO 27002 depuis juillet 2007

Titre de la norme ISO 27002 :Code de bonnes pratiques pour la gestion de la securitel’informationhttp ://www.iso.org/iso/iso catalogue/catalogue tc/catalogue detail.htm ?csnumber=39612


Les normes ISO 17799, ISO 27002

Securite

Que proteger ?

De quoi les proteger ?

Quels sont les risques ?

l’entreprise ?

Liste des menaces

Liste des biens a proteger

Liste des impacts et probabilites

Liste des contre-mesuresComment proteger


Lectures recommandees

Securite en general :“The NSA Guide to Enterprise Security : ProtectingInformation Assets”, Michel Kabay, McGraw Hill, 1996“Practical Unix and Internet Security”, Simson Garfinkeland Gene Spafford, O’Reilly and Associates, 1996“Security engineering : a Guide to Building DependableDistributed Systems”, Ross Anderson, John Willey andSons, 2001“Firewalls and internet security”, William Cheswick andSteven Bellovin, Adison Wesley, 1994 (and 2003)“Web Security Sourcebook”, Aviel Rubin, Daniel Geer, andMarcus Ranum, John Willey and sons, 1997


Lectures recommandees

Systemes et protocoles :“Understanding Public Key Infrastructure : Concepts,Standards, and Deployement Considerations”, CarlisleAdams and Steve Lloyd, New Riders, 1999“Practical Unix and Internet Security”, Simson Garfinkeland Gene Spafford, O’Reilly and Associates, 1996“IPSEC : The New Security Standard for the Internet,Intranets, and Virtual Private Networks”, NaganandDoraswamy and Dan Harkins, Prentice Hall, 1999“SSL and TLS : Designing and Building Secure Systems”,Eric Rescorla, Addison Wesley, 2001


Documents

Cours1 Intro