Upload
somsaif
View
112
Download
2
Tags:
Embed Size (px)
Citation preview
Introduction a la Securite informatique
Introduction a la Securite informatique
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Kaouthar Sethom Ben Reguiga
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Introduction
Systeme d’information (definition)
Le systeme d’information comprend les materielsinformatiques et les equipements peripheriques, les logicielset microprogrammes, les algorithmes et specificationsinternes aux programmes, la documentation, les moyens detransmission, les procedures, les donnees et les informationsqui sont collectees, gardees, traitees, recherchees outransmises par ces moyens ainsi que les ressources humainesqui les mettent en oeuvre.
Securite des Systemes d’Information
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Introduction
L’information numerique est vulnerable
peut etre detruite, amputee, falsifiee, modifiee
pas d’original, ni de copies mais des clones ou la reproductionest a l’identique
L’information numerique est volatile
peut etre ajustee, personnalisee
un document generique peut etre particularise pour undestinataire specifique
un logiciel general peut etre ajuste selon le contexte ou cibleselon un usage specifique
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Qu’est-ce que la securite
D’un premier point de vue :s’assurer que rien de “mauvais” arrivereduire les chances que quelque chose de “mauvais” seproduiseminimiser l’impact des “mauvaises choses”fournir les elements necessaires pour se remettre des“mauvaises choses”
D’un autre point de vue :autoriser les “bonnes choses” a arrivergestion du cout du systeme
Exemples :securite de la maisonsecurite de la voiture
Introduction a la Securite informatique
Security Challenges
securiser une variete de systemes differentssecuriser les interfaces entre differents systemesbesoins et buts de securite differentsrentabiliser le maintien du systemeles securitaires doivent proteger tous les liens du systemel’attaquant cherche la plus faible liaison dans le systemegarder les couts de securite sous controle
Introduction a la Securite informatique
:
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Menaces et Attaques
acces non autorisesperte d’integrite du systemedeni de servicevirus informatiquecheval de Troieperte d’informationsfuite de donneesmanipulation de donneesfraude de donneesvol de donneesdestruction de donneesmanipulation de programmes
Introduction a la Securite informatique
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Quelques breches de securite
En 1988, l’attaque “worm” menee par l’etudiant deCornell, Robbert Morris Jr., a infecte des milliersd’ordinateurs, causant leur arret.En 1994, une fraude de 10,4 millions de dollars menee parun groupe russe contre la Citybank.En 1996, les pages web de la USA DOJ et de la CIA ontete modifiees par des vandales.dans les annees 2000, des millions d’attaques sur lesgouvernements, societes, instituts financiers, ... chaqueannee (la plupart sont irresolues et non mentionnees).
Introduction a la Securite informatique
Ecoute et packet sniffing (analyseur de reseau)
Description : acquerir de l’information sans la changerMoyens : packet sniffers, routeurs, capture et filtrage depaquetsMenaces : Sniffing peut etre utilise pour recuperer diversesinformations envoyees sur le reseau
login + passwordnumero de carte de creditmails et autres messagesanalyses de trafic
Introduction a la Securite informatique
Snooping (fouineur)
Description : acquerir de l’information sans la modifierMoyens : examiner des documents contenus dans le disqueou la memoire principale
utilisation de privileges legitimes (inites)piratage informatique de systeme (exclus)vol d’ordinateurs portablescontrole des frappes clavierobservation du temps d’information (canal secret)
Menaces :obtenir des informations sensibles (fichiers contenant desnumeros de carte de credit)retrouver les mots de passe, les cles secretes, etc.
Introduction a la Securite informatique
Falsification
Description : modification ou destruction de donneesstockeesMoyens : les inities utilisent a mauvais escient les privilegeset les exclus font irruption dans le systemeMenaces :
changer les archives, les categories scolaires, les dettes (13million de fraude sur les dettes a NY)effacer des protocoles d’auditcheval de Troie pour obtenir le mot de passe, et d’autresutilisations
Introduction a la Securite informatique
Spoofing (parodie)
Description : se faire passer pour d’autres utilisateurs ouordinateurs afin d’obtenir des privilegesMoyens :
vol de compte, deviner le mot de passe, ingenierie socialeIP spoofing : contrefaire des e-mails, fausse adresse IP,detournement des connections IP
Menaces :messages contrefaits (“l’annulation de l’examen” deDartmouth)deni de service (attaques IP, attaque SIN, Ping-of-Death)information sniffing (attaque “WWW Spoofing” dePrinceton)
Introduction a la Securite informatique
Brouillage
Description : mise hors service d’un systeme ou d’un serviceMoyens : engagement d’hote dans de nombreuses activites(legitimes) jusqu’a epuisement de ses ressources ; spoofingretourne des adresses pour eviter les tracesMenaces :
consommer toutes les ressources des machines attaquees, parexemple, memoire (attaque SYN), disque (attaque d’e-mail)exploiter les bugs pour arreter les hotes (ping-of-death)
Introduction a la Securite informatique
Injection de code
Description : injection de code malveillant pour executersur l’hote avec de hauts privileges et infecter d’autres hotes.Moyens :
virus : attaches a l’executable, etendu par des CD infectes,fichiers joints a un e-mail.ver : dupliquer sur internet
Menaces :toutes ...
Introduction a la Securite informatique
Le virus Melissa
sur les e-mails, menee vers fin mars 1999Sujet : Important Message From < name >Corps :Here is that document you asked for . . . don′t show anyone else ;−)+ensemble de liens pornographiquesPieces jointes : fichier word avec des macros infectes
registres eux-memes, pour eviter la duplicationmodifier le fichier Normal.dotenvoyer des e-mails aux 50 premieres adresses du carnetd’adresses ¿Outlook
quand la date+mois coıncide avec heure+minutes, inserer“twenty-two points, plus triple-word-score, plus fifty pointsfor using all my letters. Game’s over. I’m outa here.”Impact : en moins de 3 jours, plus de 100,000 hotes.Certains devant eteindre a cause de la taille des e-mails.
Introduction a la Securite informatique
Defauts d’exploitation
exploiter la vulnerabilite des logiciels pour penetrer lessystemes
buffer overflow (par ex, internet worm, web site apps)defaut des codes de securite mobiles (java, ActiveX)mauvaise ergonomie (logins des administrateurs Unix,sendmail)
La connaissance s’etend plus rapidement que le remedebulletins de piratage informatiqueConseils
des kits de logiciels publiquement disponibles pour detecterdes vulnerabilites connues, par ex. SATAN, ISSmais ils ne sont pas toujours aisement suivis et sontsouvant utilises a l’avantage des pirates informatiques
des kits de piratage disponibles publiquement sur le net, parex. RootKit (Unix)
Introduction a la Securite informatique
Password and key cracking
Deviner : noms des membres de la famille, numeros detelephone, etc.Attaque par dictionnaire : recherche systematique
Crack : attaque par dictionnaire etendue avec des modelescommunsle craquage est maintenant utilise par les administrateurssysteme et les programmes de mots de passe
Recherche exhaustive :outils de cryptanalyse se developpent continuellementinternet fournit une ressource massive de calcul parallele
cryptanalyse, mauvais generateurs, analyse du tempsKocher : decouvrir la cle au moment ou elle est utilisee pourchiffrer
craquage de cartes a puce par injection de fautes
Introduction a la Securite informatique
Ingenierie sociale
Spoofing un “systeme reel” :ecran d’identificationnumeros de telephonehistoire des DAB (distri auto billet)
Spoofing un “service” :vol de cartes de credit et de codes PINvol de mots de passe
Attaque de l’homme du milieu :impression speciale de journauxrouteur, tableau d’affichage, etc.
Introduction a la Securite informatique
Hackers - Qui sont-ils ?
Chercheurs academiques :universites et laboratoires de recherchedeveloppement et analyse de systeme
Consultant hackers :employes par les compagnies pour identifier les failles dessystemes
Hackers independants :travaillent individuellement pour identifier les failles dessystemesleurs motivations sont sociales ou personnelles
Hackers criminels :de l’autre cote de la loileurs motivations sont essentiellement financieres oupolitiques
Hackers amateurs :obtention des outils et des codes (internet, hackersprofessionnels)non professionnels (ils laissent des traces)
Introduction a la Securite informatique
Piratage politique
Motivations :raisons politiquesespionnage industrielespionnage militaireinformation de guerre
Ressources :quasi illimitees
Risque :depend du pays
Introduction a la Securite informatique
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Piratage commercial
Motivations :obtenir des avantages d’affairecauser des pertes directes ou indirectes
Ressources :limitees par le gain potentiel
Risque :poursuite legale
Exemples :changement d’ingenierie, rupture de service
Introduction a la Securite informatique
Piratage financier
Motivations :gain monetairevol de ressources
Ressources :individus isoles (faibles ressources mais ils ont descompetences)crime organise (ressources financieres abondantes)
Risque :individus cibles ou organisationsconsidere pour etre bas
Exemples :telephone, tv, sites web, numero de CB
Introduction a la Securite informatique
Piratage individuel
Motivations :employes mecontentscuriositechallenge intellectuelvandales
Ressources :ressources raresgrande communaute
Risque :erreurs non vouluesquasi aucun mais aux frontieres de la loi
Introduction a la Securite informatique
Sources d’informations des pirates
groupes :alt.2600Cult of Dead Cow (CDC)
Magazines :Phracksites web
Conferences :DefCon
CERT :Computer Response Emergency Team newsgroups
Introduction a la Securite informatique
Mise en place d’une politique de securite (PSI)
liens sensibles
menaces
impacts
mesures a adopter
55% des entreprises sont dotees dune PSI (source : rapportCLUSIF 2008)
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Mise en oeuvre d’une politique de securite :
systeme d’authentification (biometrie, serveur d’authentification , · · · )
chiffrement (PKI, mecanismes integres a des protocoles decommunication (IPsec), · · · )
pare feux (firewall)
systeme anti-virus
outil de detection de failles de securite
systeme de detection d’intrusions
systeme d’exploitation securise
· · ·
Odile PAPINI
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Les normes ISO 17799, ISO 27002
Normes internationales concernant la securite del’information les plus recentes
norme ISO 17799 : differentes versions
norme ISO 17799 : 2005 de juin 2005 a juin 2007
norme ISO 27002 depuis juillet 2007
Titre de la norme ISO 27002 :Code de bonnes pratiques pour la gestion de la securitel’informationhttp ://www.iso.org/iso/iso catalogue/catalogue tc/catalogue detail.htm ?csnumber=39612
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Les normes ISO 17799, ISO 27002
Securite
Que proteger ?
De quoi les proteger ?
Quels sont les risques ?
l’entreprise ?
Liste des menaces
Liste des biens a proteger
Liste des impacts et probabilites
Liste des contre-mesuresComment proteger
For Evaluation Only.Copyright (c) by Foxit Software Company, 2004 - 2007Edited by Foxit PDF Editor
Lectures recommandees
Securite en general :“The NSA Guide to Enterprise Security : ProtectingInformation Assets”, Michel Kabay, McGraw Hill, 1996“Practical Unix and Internet Security”, Simson Garfinkeland Gene Spafford, O’Reilly and Associates, 1996“Security engineering : a Guide to Building DependableDistributed Systems”, Ross Anderson, John Willey andSons, 2001“Firewalls and internet security”, William Cheswick andSteven Bellovin, Adison Wesley, 1994 (and 2003)“Web Security Sourcebook”, Aviel Rubin, Daniel Geer, andMarcus Ranum, John Willey and sons, 1997
Introduction a la Securite informatique
Lectures recommandees
Systemes et protocoles :“Understanding Public Key Infrastructure : Concepts,Standards, and Deployement Considerations”, CarlisleAdams and Steve Lloyd, New Riders, 1999“Practical Unix and Internet Security”, Simson Garfinkeland Gene Spafford, O’Reilly and Associates, 1996“IPSEC : The New Security Standard for the Internet,Intranets, and Virtual Private Networks”, NaganandDoraswamy and Dan Harkins, Prentice Hall, 1999“SSL and TLS : Designing and Building Secure Systems”,Eric Rescorla, Addison Wesley, 2001
Introduction a la Securite informatique