Beruflich Dokumente
Kultur Dokumente
com
Cours SSI
Systme dinformation : organisation des activits consistant acqurir, stocker, transformer, diffuser, exploiter, grer... les informations Un des moyens techniques pour faire fonctionner un systme dinformation est dutiliser un Systme informatique
Cours SSI
Cours SSI
Cours SSI
Cours SSI
Cours SSI
Croissance de l'Internet Croissance des attaques Failles des technologies Failles des configurations Failles des politiques de scurit Changement de profil des pirates
Cours SSI
Cours SSI
Phnomnes techniques
Explosion de la technologie des transferts de donnes. Grande complexit des architectures de systmes. Ouverture (pas toujours matrise) des rseaux de communication
Cours SSI
Phnomnes organisationnels
Besoin de plus en plus d'informations Grande diversit dans la nature des informations: donnes financires donnes techniques donnes mdicales Ces donnes constituent les biens de l'entreprise et peuvent tre trs convoites.
Cours SSI
10
Dsinformer Empcher l'accs une ressource Prendre le contrle d'une ressource Rcuprer de l'information prsente sur le systme Utiliser le systme compromis pour rebondir Constituer un rseau de botnet (ou rseau de machines zombies)
Cours SSI
11
Les botnets
La notion de botnet date des premiers rseaux irc (dbut des annes 1990). Rseau de machines contrles par un bot herder ou botmaster . Estimation: une machine sur quatre fait partie dun botnet, soit environ 154 millions de machines Un botnet peut tre utilis pour: Envoyer du spam Vol dinformations sensibles (avec un keylogger par exemple). Installer des spywares. Paralyser un rseau en dni de services Installer un site web malicieux (phishing) Truquer les statistiques de sites webs (sondage en lignes authentifis par des adresses IP, rmunration sur des clics de bannires,)
Cours SSI 12
Cours SSI
13
Cours SSI
14
Cours SSI
15
Niveaux de scurisation
Sensibilisation des utilisateurs aux problmes de scurit. Scurisation des donnes, des applications, des systmes d'exploitation. Scurisation des tlcommunications. Scurisation physiques du matriel et des accs.
Cours SSI
16
Politique de scurit
Compromis scurit - fonctionnalit. Identifier les risques et leurs consquences. Elaborer des rgles et des procdures mettre en oeuvre pour les risques identifis. Surveillance et veille technologique sur les vulnrabilits dcouvertes. Actions entreprendre et personnes contacter en cas de dtection d'un problme.
Cours SSI
17
Cours SSI
18
Quelques mthodes EBIOS (Expressions des Besoins et Identification des Objectifs de Scurit) http://www.ssi.gouv.fr/fr/confiance/ebios.html MEHARI (MEthode Harmonise d'Analyse de Risques) http://www.clusif.asso.fr/fr/production/mehari La norme ISO 17799 Prsentation: http://www.clusif.asso.fr/fr/production/ouvrages/pdf/Present ation-ISO17799-2005.pdf
Cours SSI
19
Cours SSI
20
VINCI Cours SSI Z.Kartit:kartit@yahoo.com Scurit des systmes dinformation Les menaces
Cours SSI
21
Techniques d'attaques
Social Engineering MICE (Money, Ideology, Compromise, Ego) Dumpster diving Shoulder surfing Sniffing Scannings etc.
Cours SSI
22
Dissimulation d'informations
L'information peut tre dissimule dans un but de protection (mot de passe, ) ou dans des buts moins lgaux. Diffrentes mthodes pour s'changer de l'information de manire sre: chiffrement (symtrique, asymtrique)
Cours SSI
23
Menaces actives
Panne, mauvaise utilisation, pertes d'informations Contamination (virus, vers, spyware) Spam, phishing Chevaux de Troie (backdoors) Dnis de services Intrusions Bombes logiques (se dclenche aprs une action donne)
Menaces passives
Cours SSI
24
Virus
Portion de code inoffensive ou destructrice capable de se reproduire et de se propager. Diffrents types de virus: Virus boot Virus dissimul dans les excutables Macro virus Diffrentes contaminations possibles: change de disquettes Pices jointes au courrier lectronique Excutables rcuprs sur Internet
Cours SSI
25
Vers
Proches des virus mais capables de se propager sur d'autres ordinateurs travers le rseau. Un moyen courant de propagation: le carnet d'adresses d'outlook (ex: "I Love you": dni de service sur les serveurs web). Quelques exemples: Code Red (utilisation d'une faille des serveurs IIS et dfiguration des sites) Blaster (utilisation d'une faille du protocole windows DCM RPC)
Cours SSI
26
Chevaux de troie
Trs rpandu Quelques exemples pour Windows Back Orifice Permet de la remote administration . Sockets23 (Socket de Troie) Signale la prsence des ordinateurs infects sur des serveurs de discussion en direct de type irc
Cours SSI
27
Les spywares
Dfinition du spyware Un spyware ("espiogiciel") est un logiciel qui collecte des informations d'une machine et les envoie l'insu de l'utilisateur sans son consentement. Concept invent par Microsoft en 1995. Quelques chiffres manant d'une tude du NCSA mene chez les abonns d'AOL en octobre 2004: 80% des PC tudis contenaient au moins 1 spyware. Un PC hberge en moyenne 93 spywares. 90% des personnes interroges n'ont jamais entendu parler de spyware. Un spyware se dcline aujourd'hui en "adware" (logiciel d'affichage de publicit) et en "malware" ("pourriciel", logiciels hostiles)
Cours SSI
28
Les logiciels lis (bundles): installation du spyware en mme temps qu'un logiciel lgitime (KaZaA, codec DivX, ) La navigation sur Internet exploitation de failles (essentiellement mais pas uniquement avec Internet Explorer) Installation volontaire (par acceptation) d'un logiciel, activeX, plug-in La messagerie incitant par SPAM visiter des sites douteux. Un exemple particulier: 2 septembre 2008 travers le webmail de la Poste
Cours SSI
29
Comparaison spyware/virus
Un virus est capable de se reproduire, en gnral pas les spywares. Un virus s'installe sur une machine scurit faible, un spyware va plutt inciter un utilisateur naf ou ignorant le tlcharger et l'installer. Un virus est destin utiliser des ressources de la machine et peut avoir des actions nocives (destruction de fichiers, ouverture de "backdoor",). Un spyware n'est en principe pas destin endommager une machine. Les auteurs de spywares peuvent tre rmunrs, ce n'est bien sr pas le cas pour un crateur de virus. Le dlai d'apparition d'un spyware aprs dcouverte d'une faille peut donc tre trs court.
Cours SSI
30
Dtection de spyware
Fentres "popup" intempestive. Page d'accueil du navigateur modifie. Apparitions d'icnes sur le bureau. Connexions Internet intempestives. Trafic rseau anormal. Dsactivation des outils de scurit locaux.
Cours SSI
31
Dtection de spyware
Les outils de scurit locaux: DLL modifie (dtectable par un antivirus). Firewall personnel Outils anti rootkits Les outils de scurit rseau: Connexions rcurrentes et/ou nocturnes. Tlchargements suspects. Connexions vers des sites rputs pour tre lis au spyware. Connexions vers des sites non rfrencs dans un dns. Connexions vers des sites .ru .cc .tw .cn
Cours SSI
32
Cours SSI 33
Cours SSI
34
SPAM
Dfinition : Envoi massif et parfois rpt de courriers lectroniques non sollicits des personnes avec lesquelles lexpditeur na jamais eu de contact au pralable, et dont il a capt ladresse lectronique de faon irrgulire.(pourriel en franais). SPAM=Spiced Pork And Meat, popularis par un sketch des Monty Python (http://www.dailymotion.com/swf/x3a5yl) Un message va tre dpos dans une liste de serveurs de courrier; les serveurs abuss vont envoyer une copie chaque destinataire. Courrier bas sur une liste dadresses collectes de manire dloyale et illicite. Messages peu coteux lenvoi mais coteux pour le destinataire.
Cours SSI
35
Cours SSI
36
Cours SSI
37
Perte de donnes Perte de temps de travail Perte dimage de marque Perte de fonctionnalits (systme ou email bloqus) Perte de confidentialit
Cours SSI
38
Cours SSI
39
Cours SSI
40
Rappel : Entte IP
Cours SSI
41
Cours SSI
42
Cours SSI
43
Cours SSI
44
Sniffer
Outil de base indispensable. Permet de visualiser les trames sur un segment de rseau. Ncessite des droits administrateurs. Attention au problme juridique Utilise des sockets en mode promiscuous Activation :ifconfig eth0 promisc Beaucoup de logiciels sniffers existants. Liste sur http://packetstormsecurity.org/sniffers Le sniffer de base pour unix: tcpdump. Disponible sur http://www.tcpdump.org.
Cours SSI
45
Sniffer multi-plateforme
ethereal (http://www.ethereal.com) devenu wireshark (http://www.wireshark.org), un sniffer multi plateforme graphique.
Cours SSI
46
IP Spoofing
Mthode d'attaque qui parodie l'adresse IP d'un autre ordinateur (usurpation). Permet de brouiller les pistes ou d'obtenir un accs des systmes sur lesquels l'authentification est fonde sur l'adresse IP (rlogin, rsh sur les machines numro de squence TCP prvisible).
Cours SSI
48
Cours SSI
49
Cours SSI
50
Teardrop L'attaque par fragmentation la plus clbre est l'attaque Teardrop. Le principe de l'attaque Teardrop consiste insrer dans des paquets fragments des informations de dcalage errones. Ainsi, lors du rassemblage il existe des vides ou des recoupements (overlapping), pouvant provoquer une instabilit du systme. A ce jour, les systmes rcents ne sont plus vulnrables cette attaque.
51
Cours SSI
Cours SSI
52
Un client malveillant peut supprimer la dernire tape et ne pas rpondre avec le ACK. Le serveur attend un certain temps car ce dlai pourrait avoir t caus par la latence du rseau. Cette priode d'attente par le serveur tait d'environ 75 secondes lors des premires attaques SYN. ce stade, la connexion est semi-ouverte et consomme un certain nombre de ressources du ct du serveur (mmoire, temps processeur, etc.). En gnrant suffisamment de connexions de ce type, il est possible de monopoliser les ressources du serveur. Comme le nombre de connexions est la plupart du temps limit, le serveur n'accepte plus de nouveaux clients avec pour rsultat un dni de service. Dans certains cas, le serveur peut mme planter par manque de ressources.
Cours SSI 53
Cours SSI
54
Cours SSI
55
Recouvrement de fragments
Un paquet TCP peut leurrer un filtre IP en se scindant en 2 fragments qui se superposent: 1er fragment: paquet TCP avec flags SYN et ACK 0. 2me fragment contient la vrai demande de connexion avec un offset de 1 (octet).
les filtres IP appliquent la mme rgle de filtrage tous les fragments d'un paquet
Cours SSI
56
Cours SSI
57
Cours SSI
58
Cours SSI
59
arp spoofing
Pollution des caches arp avec de fausses associations adresse mac/adresse IP. Permet des attaques de type "man in the middle", DOS, transgression des rgles d'un firewall par spoofing.
Cours SSI
60
arp spoofing
Exemple d'outil d'arp spoofing: arp-sk (unix) winarp-sk (windows) http://www.arp-sk.org WinArpSpoof http://nextsecurity.net
Cours SSI
61
Cours SSI
62
tcp hijacking
Cours SSI
63
un pirate avec une machine C veut voler une session Telnet tablie entre les machines A et B. Dans un premier temps, la machine C sniffe le traffic Telnet (port TCP 23) entre A et B. Une fois que le pirate estime que A a eu le temps de s'authentifier auprs du service Telnet de la machine B, il dsynchronise la machine A par rapport B. Pour cela, il forge alors un paquet avec, comme adresse IP source, celle de la machine A et le numro d'acquittement TCP attendu par B. La machine B accepte donc ce paquet. En plus de dsynchroniser la connexion TCP ce paquet permet au pirate d'injecter une commande via la session Telnet pralablement tablie par A. En effet, ce paquet peut transporter des donnes
Cours SSI
64
Smurf
Envoie d'une trame ICMP "echo request" sur une adresse de diffusion. Exemple: ping 193.49.200.255 Mthode utilise pour dterminer les machines actives sur une plage IP
Cours SSI
65
Attaque en Smurf
Cours SSI
66
Parades au smurf
Interdire la rponse aux trames ICMP sur les adresses de diffusion: Au niveau routeur Au niveau machine
Cours SSI
67
DDOS
Le "Distributed denial-of-service" ou dni de service distribu est un type d'attaque trs volu visant faire planter ou rendre muette une machine en la submergeant de trafic inutile . Plusieurs machines la fois sont l'origine de cette attaque (c'est une attaque distribue) qui vise anantir des serveurs, des sous-rseaux, etc. D'autre part, elle reste trs difficile contrer ou viter. C'est pour cela que cette attaque reprsente une menace.
Cours SSI
68
Scnario d un DDOS
Cours SSI
69
Un botnet de 1000 machines peut saturer la bande passante dune grande entreprise (1000 * 128Kb/s =128 Mb/s). Une entreprise peut acheter les services dun botherders pour attaquer un concurrent.
Cours SSI
70
Vulnrabilits applicatives
Beaucoup d'applications sont vulnrables dues de la mauvaise programmation (par manque de temps, de motivation, ) ou volontairement (amnagement d'un point d'entre, ). Toutes les applications ont besoin de scurit: services rseaux (daemons), les applications tlcharges (applet java, ), les applications web (scripts cgi, ..)
Cours SSI
71
Cours SSI
72
Buffer Overflow
Appele aussi "buffer overruns"; c'est une vulnrabilit extrmement tendue (environ 2/3 des vulnrabilits). criture de donnes en dehors de la zone alloue (pile ou tas).
Cours SSI
73
Cours SSI
74
Services de scurit
LISO a dfini 6 services de scurit : authentification (de la source et/ou du destinataire) ; contrle daccs (qui ncessite une authentification prliminaire) ; confidentialit des donnes (les donnes illicitement rcupres doivent tre inutilisables) ; intgrit des donnes (empcher les modifications des donnes, les doublons) ; non-rpudiation (un message, son envoi et sa rception ne peuvent tre contests) ; protection de lanalyse du trafic (la relation entre deux personnes doit rester secrte).
Diffrents mcanismes tels que le chiffrement, les signatures numriques, les listes de contrle daccs, le bourrage, la notarisation, etc, sont utiliss pour assurer ces services.
Cours SSI 75
Place du chirement
Le mcanisme de chiffrement existe trois niveaux : liaison : mise en place de botes noires sur les supports de transmission ; rseau : des quipements spcialiss sont placs sur chacun des sites, au niveau des routeurs ; de bout en bout : seules les donnes constituant linformation transmise sont chiffres. Il est mis en uvre dans les applications du modle TCP/IP.
Lensemble repose, dans tous les cas, sur un algorithme donn, une cl ou un couple de cls associes et un mcanisme de distribution des cls.
Cours SSI
76
Modle de chiffrement
Cours SSI
77
Vocabulaire
Chiffrer : transcrire, laide dun algorithme paramtrable un message clair en une suite incomprhensible de symboles texte en clair : le message chiffrer texte chiffr : le rsultat du chiffrement Dchiffrer : retrouver le texte en clair partir du texte chiffr laide dun algorithme paramtrable cl : le paramtre des algorithmes de chiffrement et de dchiffrement Dcrypter : retrouver le texte en clair partir du texte chiffr sans la cl Cryptographie : science du chiffrement Cryptanalyse : science du dcryptage Cryptologie : cryptographie et cryptanalyse Cryptosystme : ensemble des mthodes de chiffrement et de dchiffrement utilisables en scurit Remarque : le verbe crypter nest pas utilis.
Cours SSI
78
Notation
Chiffrement dun texte en clair P au moyen de la cl K1 : C = EK1 (P) Dchiffrement du texte chiffr C au moyen de la cl K2 : P = DK2 (C) Si DK2 et la fonction inverse de EK1 , nous obtenons : DK2 [EK1 (P)] = P
Cours SSI
79
Les algorithmes de chiffrement et de dchiffrement doivent permettre datteindre des vitesses de chiffrement levs et utiliser peu despace mmoire. Le chiffre doit tre difficile casser que ce soit avec des messages chiffrs seuls ou un chantillon de messages en clair avec leur message chiffr correspondant. Redondance : le destinataire doit pouvoir vrifier la lgitimit dun message : on ne doit pas pouvoir crer des textes ressemblant des textes chiffrs. Fracheur : le destinataire doit pouvoir sassurer quun message est rcent.
Cours SSI
80
Principe de Kerckhoff
Principe de Kerckhoff : tous les algorithmes doivent tre publics ; seules les cls sont secrtes. Consquences : le vritable secret rside dans la cl ; lalgorithme public doit tre fort et la cl doit tre longue. Problmes : quelle longueur de cls choisir ? quelle frquence de renouvellement des cls choisir ? comment schanger les cls ?
Cours SSI
81
Mthodes de chirement
Chiffres de substitution Chaque lettre ou groupe de lettres est remplac par une autre lettre ou un autre groupe de lettres. Exemple : avec la cl texte en clair : a b c d e f g h i j k l m n o p q r s t u v w x y z texte chiffr : U X O M P S N B E A Z Q W D G V K H C R T Y I F J L le message hello world devient BPQQG IGHQM.
Chiffres de transposition On modifie lordre des lettres dun texte en clair. Exemple : avec la cl 213 le message hello world devient eohwlrodll. 21354 he l lo wor l d La plupart des algorithmes de chiffrement ne sont quun mlange savant de substitutions et transpositions (ex : DES, AES).
Cours SSI
82
Technique ancienne permettant de construire des chiffres incassables : on choisit un masque (une suite de bits) alatoire : cest la cl ; on convertit le texte en clair en une chane de bits (suivant le code ASCII par exemple) ; on effectue un OU exclusif (XOR) entre ces deux chanes de bits. Le texte chiffr ne peut tre cass car dans un texte assez long, les lettres apparaissent avec la mme frquence : le texte chiffr ne contient aucune information.
Cours SSI
83
Algorithmes cl symtrique
Cours SSI
84
Algorithmes cl symtrique
Faiblesses :
La distribution des cls restent un des problmes majeurs ; Certaines mthodes de cryptanalyse diffrentielle et/ou linaire permettent dattaquer plus efficacement les chiffrements par bloc comme DES.
Cours SSI
85
Algorithmes cl publique
Caractristique :
la cl de chiffrement K1 et la cl de dchiffrement K2 sont diffrentes ; Il est difficile de dduire DK2 partir de EK1 ; EK1 ne peut pas tre cass laide dune attaque sur un texte clair choisi.
Cours SSI
86
Algorithmes cl publique
rsiste depuis un quart de sicle ; utilise une cl de 1024 bits => temps de calcul trop important ;
principalement utilis pour distribuer des cls de session pour AES ou DES.
Cours SSI
87
Obtenir la confidentialit
Cours SSI
88
Cours SSI
89
Cours SSI
90
Signature
But : La signature numrique est une mthode permettant de signer des textes dune faon qui les mettent labri de toute falsification (comme pour les signatures apposes la main). Il faut donc un mcanisme qui permette denvoyer des messages signs remplissant les conditions suivantes :
le destinataire peut authentifier lidentit de lexpditeur ; lexpditeur ne peut pas rpudier le contenu de son message ; le destinataire (ou un tiers) ne peut pas falsifier le message sign.
Cours SSI
91
Signature cl symtrique
Utilisation dun notaire BB en qui tout le monde a confiance. KA : cl secrte dAlice et BB Kb : cl secrte de Bob et BB RA : nombre alatoire t : une horodate
Cours SSI
92
Signature cl publique
On suppose ici que les algorithmes de chiffrement et dchiffrement commutent :E[D(P)] = P = D[E(P)]
Cours SSI
93
Cours SSI
94