Plan chapitre 0

Introduction

1. Dfinitions et principes gnraux 2. Exemples de menaces de quelques SI 3. Critres gnraux de la scurit des SI 4. Plan et objectifs du cours

Un Systme d Information (SI) c'est quoi ?

Par extension .. un SI

Selon lIGI 900* et le SCSSI**

est un ensemble constitu de Donnes (paramtres de contrle, donnes utiles)

Tout moyen dont :

le fonctionnement fait appel llectricit destin laborer, traiter, stocker, acheminer, prsenter ou dtruire de linformation

Programmes (applications informatiques,logiciels) Ordinateurs (Serveurs, postes de travail, rseau) Procdures (dveloppement, exploitation, maintenance) Personnes (utilisateurs, dveloppeurs) Environnement physique Exemple : Ordinateur, Rseau dentreprise, Systme de gestion de donnes
3 4

* IGI = Instruction Gnrale Interministrielle ** SCSSI = Service Central de la Scurit des Systmes d Informations

Les systmes d'information sont devenus le centre nerveux des nations modernes
Rseau d'entreprise

VOLUTIO DES SYSTMES DI FORMATIO La scurit -chteau-fort- est un leurre dangereux Les SI aujourd'hui : changent dynamiquement intgration constante de nouveaux outils mises jour, rorganisations, ... se complexifient (htrognit des systmes), sinterconnectent (en interne, mais aussi vers lextrieur) Les technologies voluent (programmation oriente objet, agents intelligents) comme les menaces !!

Commerce lectronique

Un systme d'information est vulnrable l'coute passive

. A l'intrusion
Porte drobe Attaque

Connexion Sniffer Interception satellite

Vol de session

Sniffer

Interception HF

Branchement Interception GSM

7

Telemaintenace

. A la prise de contrle
Cheval de Troie Log. Douteux Virus

Dfinitions :
Vulnrabilit

Internet Connexion Zombies

faiblesse / faille : faute accidentelle ou intentionnelle introduite dans spcification, conception ou configuration du systme Attaque Action malveillante qui tente dexploiter une faiblesse dans le systme et de violer un ou plusieurs besoins de scurit Intrusion

Cheval de Troie

faute oprationnelle, externe, intentionnellement nuisible, rsultant de lexploitation dune vulnrabilit dans le systme
9 10

Dfinitions :

Dfinitions :
bombe logique

Menace Violation potentielle dune proprit de scurit

partie de programme qui reste dormante dans le systme hte jusqu ce quun instant ou un vnement survienne, ou que certaines conditions soient runies, pour dclencher des effets dvastateurs en son sein cheval de Troie

Risque Couple (menace, vulnrabilit)

programme effectuant une fonction illicite tout en donnant lapparence deffectuer une fonction lgitime ; la fonction illicite peut tre de divulguer ou daltrer des informations, ou peut tre une bombe logique

11

12

Dfinitions :
porte drobe /backdoors moyen de contourner les mcanismes de scurit ; il sagit dune faille du systme de scurit due une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier) Ces passages secrets sont mnags par les concepteurs de logiciels pour fournir des accs privilgis pour les tests ou la maintenance. Mais les pirates qui les dcouvrent peuvent djouer tous les mcanismes de scurit et rentrer dans le systme.

Dfinitions :
virus segment de programme qui, lorsquil sexcute, se reproduit en sadjoignant un autre programme (du systme ou dapplication), et qui devient ainsi un cheval de Troie ; Proprits : infection, multiplication, fct nocive

ver programme autonome qui se reproduit et se propage linsu des utilisateurs

13

14

Dfinitions :

Dfinitions :
Spyware contraction de spy et software.

Ver
Autonome, sur DD

Virus
parasites dissimul dans fichiers ou dans code excutable contenu dans secteur dmarrage disque Souvent par port rseau

Logiciel espion qui collecte des donnes personnelles avant de les envoyer un tiers, e.g., Keylogger : transmettre les donnes saisies au clavier Spamming

Arrive souvent par pice jointe un mail ne se multiplie pas localement

se multiplie localement

'usage abusif d'un systme messagerie destin exposer dlibrment (et de manire rpte) les utilisateurs des contenus non pertinents et non sollicits
15 16

Dfinitions :

Dfinitions :

Spoofing (usurpation didentit) Sniffing (coute passive) accder aux donnes transmises sur canal de communication (e.g., cble de rseau) stocke sur un support vulnrable (e.g., disques externes). Menace: accs des informations sensibles, e.g., mot de passe dun utilisateur tap sur un terminal connect un ordinateur central, et qui transite en clair entre ce terminal et la machine. se faire passer pour quelqu'un d'autre afin de faire une action malveillante (e.g., envoi virus, spam, ) Exemple : IP spoofing = utiliser l'adresse IP d'une machine, ou d'un quipement, afin d'en usurper l'identit. Fishing : site miroir "contrefait" semblables des portails de renom attirer internaute rellement client du site plagi.

17

18

Dfinitions :
DoS / DDoS : dni de service attaque d'un serveur destine l'empcher de remplir sa fonction. mthode classique : faire crouler le serveur sous une masse de requtes gnralement mal formes dessein pour entraner une rponse anormale et paralysante. L'attaque utilise trs souvent une multitude de PC zombies travaillant de concert, infects par des backdoors/chevaux de Troie et mobilisables distance par un pirate. Il est aussi possible de bloquer distance des routeurs en tirant parti de failles de leur software.
19

Plan chapitre 0

1. Dfinitions et principes gnraux 2. Exemples de menaces de quelques SI 3. Critres gnraux de la scurit des SI 4. Plan et objectifs du cours

20

Exemples de menaces

1. Carte puces
Le client insre sa carte bancaire dans la fente et tape son NIP. L'cran demande le montant du retrait. Le client tape le montant du retrait et confirme. Le guichet cre une transaction et l'envoie au serveur transactionnel. Le serveur vrifie l'authenticit de la transaction et la relaie aux services financiers. La transaction est confirme. Le guichet demande au client de retirer sa carte bancaire. Le guichet remet l'argent au client et imprime un relev de transaction.
22

Services financiers

Slection ralise par un groupe de travail pluriel (consultants, journalistes, RSSI) Rsum obtenu des archives Clusif Apprcier lmergence de nouveaux risques et la tendances des risques dj connus Le but nest pas lloge des exploits russis

Serveur transactionnel

https://www.clusif.asso.fr
Client
21

1. Fraude au distributeur

1. Fraude au distributeur

La fraude aux cartes peut soprer au niveau technologique : fausse goulotte pour lire la piste magntique, camra pour enregistrer la composition du code

23

24

1. Fraude au distributeur

1. Yescard et payements frauduleux

-La yescard est une carte puce programmable qui permettait de faire des transactions dachats sur quelques types dautomates de paiement lectronique. La rflexion thorique a donn lieu une fraude organise avec un prjudice de plusieurs MF mais trs localise quelques dpartements. Chronologie -Printemps 2001, cration dun groupe de yescarder -Et reportages presse et tl, exploitations personnelles -Automne, mise en place de rseaux organiss notamment proximit dautomates de distribution de carburant. Source panorama clusif 2001
25 26

Quelques rfrences AFP 17/02/03 Nmes AFP 09/04/03 Nice AFP 19/12/03 Meaux Source panorama clusif 2003

1. Yescard et payements frauduleux

Quelques dtails En dessous dun seuil de transaction dachat, lauthentification de la carte et de son porteur sont fait en local. Seuls les automates (carburant, titre de transport, location vido, etc.) sont concerns

1. Yescard et payements frauduleux

Contexte -Connaissance du principe dans le milieu professionnel -Affaire judiciaire Serge Humpich vs GIE-CB -Diffusion des clefs sur Usenet donne la dcomposition du module oprationnel. 21359870359209100823950227049996287970510953418264 17406442524165008583957746445088405009430865999 = 1113954325148827987925490175477024844070922844843* 1917481702524504439375786268230862180696934189293. -Migration EMV 5.1 et 5.2 depuis janvier 2002 avec durcissement du processus dauthentification et de non rpudiation (clef 768bits)
27 28

-Les DAB/GAB requirent une demande dautorisation en ligne. - Les TPE chez les commerants ncessiteraient la contre-faon visuelle de la carte ou une collusion.

2. Tlchargement illicites : les risques pour lentreprise

Jugement TGI Marseille du 11/06/03 : Un employ de Lucent Technologies conoit un site personnel dnonant les abus (selon lui) de sa socit Escota. Il met en ligne ce site depuis son poste de travail. Le tribunal de grande instance de Marseille condamne lauteur de ce site mais aussi sa socit en considrant que la faute a t commise dans lexercice de ses fonctions (article 1384 du code civil) Dcision du conseil dtat du 15/10/03 : le conseil dtat confirme lexclusion temporaire dun adjoint technique de recherche. Cet employ avait utilis ladresse lectronique de son directeur de laboratoire pour communiquer sur le site dune secte. Lentreprise a t avertie de ce problme par un autre salari et a a priori constat le fait sur le site sans prendre connaissance du contenu des mails. 29

2. Tlchargement illicites : les risques pour lentreprise

Cadre lgal La responsabilit pnale des employs est engage en cas dutilisation illicite de moyens informatiques de lentreprise : droit dauteur et des marques pour tlchargement de logiciels pirates, documents audio ou films (mp3, DIVX, mpeg4,..), loi Godfrain (code pnal : 323.1, 323.2 et 323.3), pour les tentatives dintrusion et altration dun systme La responsabilit civile des entreprises peut aussi tre tablie si les tribunaux considrent que lemploy en faute tait dans lexercice de ses fonctions en sappuyant sur larticle 1384 du code civil (ou responsabilit du commettant du fait du prpos) http://www.legalis.net/jnet/2003/actualite_07_2003.htm http://www.celog.fr/silex/tome1/chap_1-1.htm
30

3. Les virus Internet, les vers : Code Red

3. Les virus Internet, les vers : IMDA

17 Juillet 2001: le virus CodeRed commence une diffusion ultra rapide via Internet (250 000 systmes infects en moins de 9 heures). cible les serveurs IIS de windows utilise le protocole TCP/IP et le port 80. dfigure les pages web hberges en y apposant la signature "Hacked by Chinese " utilise un moteur de scan dadresses IP puis sauto-installe sur les systmes vulnrables identifis entre le 1er et le 19 de chaque mois, le virus se propage, puis partir du 20, il attaque (DoS) le site Web de la Maison Blanche
31

Ver se propageant l'aide du courrier lectronique, exploite galement 4 autres modes de propagation : web rpertoires partags failles de serveur Microsoft IIS changes de fichiers Affecte particulirement les utilisateurs de Microsoft Outlook sous Windows 95, 98, Millenium, NT4 et 2000.

32

3. Les virus Internet, les vers : IMDA

rcupre @ prsentes dans carnets d'adresses de Microsoft Outlook et Eudora, fichiers HTML prsents sur le DD de la machine infecte. envoie tous les destinataires un courrier dont corps est vide, sujet est alatoire/long pice jointe nomme Readme.exe ou Readme.eml se propager travers rpertoires partags des rseaux Microsoft Windows en infectant les fichiers exe s'y trouvant consultation de pages Web sur serveurs infects peut entraner une infection lorsqu'un utilisateur consulte ces pages (ie5) Exploite certaines failles de scurit de IIS
33

3. Les virus Internet, les vers : IMDA

Symptmes postes infects possdent sur leur disque fichiers : README.EXE README.EML fichiers comportant l'extension .NWS fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe Eradiquer dconnecter la machine infecte du rseau utiliser un antivirus rcent / kit de dsinfection de Symantec patch pour Microsoft Internet Explorer 5.01 et 5.5.

34

3. Exemple de mode de propagation des virus via email

24 Octobre 2002 : rception dune carte virtuelle Friend Greeting application envoye par un ami.

3. Exemple de mode de propagation des virus via email

Sans me mfier je clique sur le lien car jai envie de voir le message

35

36

3. Exemple de mode de propagation des virus via email

Sans prter trop attention ce qui se passe, je rpond oui quelques questions et me voil prt relayer des email

3. Exemple de mode de propagation des virus via email

Me voil rcompens !! Et rapidement inquiet en voyant le compteur de messages envoys de mon poste !!!

37

38

4. La menace stratgique : Echelon

Un systme espion : nom de code CHELON Accord secret UK / USA (1948) entre 5 organisations Espionnage militaire, de scurit, civil, conomique Les moyens Six bases d'coute des tlcommunications Rseau de satellites espions Puissance informatique : tri et filtrage

4. La menace stratgique : Echelon

Un exemple : la NSA - La plus grande agence d'espionnage du monde - Cre en 52, plus de 20 000 agents - Budget annuel ~ 3 G - Aide des armes et du National Reconnaissance Office - Concentration mathmaticiens, linguistes, analystes Clients Maison Blanche, Dpartement d'tat, CIA, FBI, Pentagone, DEA, Trsor, Dpartement du Commerce Missions couter, enregistrer, dcoder, traduire, analyser les informations Casser les codes de chiffrement laborer des codes de chiffrement
39 40

Actualits Scurit clusif

Usurpation d'identit sur les sites d'enchres 28/08/03, Transfert Indiscrtion des fichiers word sur le Web 15/08/03, Branchez-vous.com Lovsan (W32.Blaster), le virus qui exploite les failles de Windows 12/08/03, Zdnet.fr Des virus dissimuls derrires du spam 01/8/03, V Unet.fr Des militaires d'lite utilisent du matriel sans fil non scuris 22/03/02, Zdnet Une faille de scurit sur le protocole SNMP 13/02/02, Reuters San Fransisco Premire lection en ligne chez les avocats 19/11/01, Yahoo/Transfert Escroquerie la carte bancaire chez les abonnes d'AOL 07/08/01, Yahoo/AFP La commission europenne veut unifier les PKI 19/07/01, Le monde informatique Projet de rapport europeen sur le projet Echelon 20/06/01, Zdnet

Contexte stratgique : Quels agresseurs et quelles cibles

Etats trangers Espionnage conomique Terrorisme politique et religieux crime organis Hackers Utilisateurs Politiques Militaire Economique (industrielle, financire, commerciale) Scientifique
41 42

En rsum : le systme d'information doit tre protg Le attaques peuvent tre conduites tous les niveaux du plus lev (humain)

Pistes pour lanalyse de scurit

Scurit informatique = scurit de l'information Analyser la scurit d'un systme

Au plus bas (matriel) Problmes Mise en uvre (environnement de scurit dficient) Authentification de l'utilisateur (contournement ou connexion force) Logiciel (erreurs, failles programmes, vers, virus, chevaux de Troie) Rseau (coute, mascarade, attaques de routeurs) 43 Matriel (failles ou dfaillance des matriel)

numrer ses vulnrabilits Dterminer les menaces Proposer des contre-mesures

44

Plan chapitre 0

1. Dfinitions et principes gnraux 2. Exemples de menaces de quelques SI 3. Critres gnraux de la scurit des SI 4. Plan et objectifs du cours

LA SRETE DE FONCTIONNEMENT

45

46

SdF : CO CEPTS DE BASE

SdF : ATTRIBUTS

La sret de fonctionnement (dependability) d'un systme informatique est la proprit qui permet ses utilisateurs de placer une confiance justifie dans le service qu'il leur dlivre. Service = comportement du systme tel qu'il est peru par les utilisateurs. Utilisateur = un autre systme avec lequel il interagit (humain ou physique)
47

Selon les points de vue (ou domaines d'application), on sintresse la capacit du systme :
tre prt dlivrer le service Assurer la continuit du service Pouvoir tre rpar et voluer (maintainability) Ne pas provoquer de catastrophe (safety) viter les divulgations illicites (confidentiality) viter les altrations disponibilit fiabilit maintenabilit scurit-innocuit confidentialit intgrit (integrity)
48

(availability) (reliability)

SdF : E TRAVES (1/7)

SdF : E TRAVES (3/7)

Dfaillance : le service dlivr par le systme dvie de laccomplissement de la fonction du systme Erreur : partie incorrecte de l'tat du systme Faute : cause adjuge ou suppose d'une erreur

Exemple : faute physique Court-circuit :

dans un circuit intgr, la migration dune piste mtallique provoque une modification de la fonction logique : dfaillance du circuit cest une faute dormante qui, lorsquon utilisera le circuit avec certaines valeurs, provoquera une erreur (valeur errone)

Cause

Faute externe

Faute interne Erreur tat du systme Service Dfaillance service incorrect

49

cette erreur peut se propager et provoquer de faux rsultats : dfaillance du systme

50

SdF : E TRAVES (4/7)

SdF : E TRAVES (5/7)

Exemple : faute de conception Bogue

la dfaillance d'un programmeur (instruction errone) est une faute dormante cette faute peut tre active par certaines valeurs des paramtres, provoquant des erreurs ces erreurs peuvent se propager et produire une dfaillance du systme : le service n'est pas conforme (en valeur ou en instant de dlivrance).
51

Exemple : faute de conception

Bombe logique
Un programmeur malveillant introduit une bombe logique : faute dormante cette faute peut tre active par certaines conditions spcifiques (ex: une date donne) provoquant des erreurs (ex: formatage disques) qui peuvent conduire la dfaillance du systme
52

SdF : E TRAVES (6/7)

SdF : E TRAVES (7/7)

Exemple : Intrusion Attaque = faute dinteraction dlibre Intrusion = faute interne rsultant dune attaque
Systme informatique

Autres exemples Maladresse des utilisateurs, des oprateurs, des agents de maintenance : fautes dinteraction accidentelles Documentation errone ou incomplte : faute de conception
Intrusion
Faute interne

Pas de test dbordement Attaque

Faute externe

Vulnrabilit
Faute de conception

Formation insuffisante : faute de conception ?

53 54

MOYE S DE LA SdF

MOYE S DE LA SdF : FOUR ITURE

Moyens de la SdF mthodes, outils et solutions pour

y Fournir au systme l'aptitude dlivrer un service conforme laccomplissement de sa fonction valider le systme, pour donner confiance dans cette aptitude

Prvention des fautes : empcher, par construction, l'occurrence ou l'introduction de fautes

dvelopper les SI de telle faon viter dintroduire des fautes de conception ou de fabrication, et empcher que des fautes ne surviennent en phase oprationnelle

Tolrance aux fautes : fournir, par redondance, un service conforme laccomplissement de la fonction, en dpit des fautes
56

55

MOYE S DE LA SdF : VALIDATIO

vitement

Acceptation

limination des fautes : rduire, par vrification, la prsence (nombre, svrit) de fautes : preuve, test
e.g., test ciblant la vrification de proprits de scurit-innocuit (en complment des techniques de preuve et de vrification de modles)

Concept s de base

Prvention des fautes

Tolrance aux fautes

limination des fautes

Prvision des fautes

Modlisation probabiliste
Hirarchisation

Scurit-confidentialit

Politiques scurit

Tolrance aux intrusions

Algorithmes & mcanismes

Rseaux de micro-systmes Systmes rpartis mobiles Systmes robotiques autonomes
Mise en uvre par rflexion

Test du logiciel
Test et preuve formelle Test orient proprit Mcanismes rflexifs

valuation exprimentale
talonnage Analyse systmes htrognes Caractrisation dexcutifs

Prvision des fautes : estimer, par valuation, la prsence, la cration et les consquences des fautes
e.g., valuation analytique et valuation exprimentale

Classes de fautes
Fautes physiques Fautes de conception

Empaquetage dexcutifs

57 Intrusions

58

SECURITE : DEFI ITIO S

scurit-innocuit (safety) : concerne la prvention de

catastrophes
scurit satisfaisante aucune des dfaillances ventuelles ne peut provoquer de dgts importants Ex : systmes de transport ou de contrle des centrales nuclaires

LA SECURITE

security : concerne capacit syst informatique rsister :

des agressions externes physiques (incendie, inondation, bombes, etc.) ou des agressions logiques (erreurs de saisie, intrusions, piratages, etc.).

Ex : lors dun audit de scurit valuation des risques lis linformatique.

59

Confidentialit + intgrit + disponibilit

60

Sret de Fonctionnement & SECURITE : RECAPITULO S Sret de Fonctionnement Fiabilit

continuit de service = proprit qui permet de placer une confiance justifie dans le service dlivr par le systme

CO FIDE TIALITE
proprit dune info de ne pas tre rvle des U non autoriss la connatre empcher les Users de lire une information confidentielle, et empcher les Users autoriss lire une info et de la divulguer dautres Users

Scurit-innocuit
pas de consquence catastrophique

Disponibilit
prt tre utilis

Que faire ?
analyser tous les chemins quune information peut prendre prendre en compte les connaissances quun ou plusieurs utilisateurs peuvent dduire partir des informations quils acquirent. Contrler les liens logiques qui peuvent relier les informations entre elles ou avec des informations publiques
STATION DE TRAVAIL STATION DE TRAVAIL

Confidentialit
pas de divulgation non-autorise

Intregrit
pas d'altration

Scurit des S.I.

= combinaison de confidentialit, d'intgrit et de disponibilit [Itsec91]
61

Maintenabilit
capacit tre rpar et voluer

ESPION

Attaques ?
coutes passives,
SERVEURS

62

Dmo Ethereal

Captures de paquets PING Captures de paquets FTP Captures de paquets HTTP Captures de paquets HTTPS
M: Message clair C: Message chiffr K: Une cl secrte

63

64

I TEGRITE
proprit dune information de ne pas tre altre

empcher une modif indue de linformation, cd modif par User non autoriss ou une modif incorrecte par des utilisateurs autoriss, et faire en sorte quaucun User ne puisse empcher la modif lgitime de linfo

Que faire ?
avoir lassurance que toute modif est approuve et que chaque programme se comporte de manire correcte sassurer quaucune info ne peut tre modifie (intentionnellement ou accidentellement) par des intermdiaires, Fcts de hachage, contrle dintgrit

M: Message clair H(M): Algorithme de hachage

Attaques ?
Dguisement, rejeu
65 66

DISPO IBILITE
proprit dune info dtre accessible lorsquun utilisateur autoris en a besoin.

CO FIDE TIALITE + I TEGRITE + DISPO IBILITE (Info + Mta_Information)

fournir laccs linformation pour que les U autoriss puissent la lire/modifier faire en sorte quaucun U ne puisse empcher les U autoriss daccder linfo

Types de dispo
accessibilit immdiate : accs en respectant les dlais prennit : dispo de donnes persistantes (dure de validit)

Authenticit : intgrit du contenu (donne), de lidentit (mta-donne) Anonymat : confidentialit de lidentit (mta-donne) Traabilit : intgrit et disponibilit de mta-donnes

Attaques ?
DoS? DDoS,

Que faire ?
Sauvegardes, et organisation des sauvegardes droits d'accs, accs contrls protection des services sensibles par soft firewalls

67

68

4. Aytres proprit : on Rpudiation (1)

4. on Rpudiation (2)

Qualit dun systme qui permet d'imputer de faon certaine une opration un utilisateur un moment donn

M: Message clair H(M): Message hach SKA: Cl secrte C: Message chiffr K: Cl secrte
De: prof@ensi-bourges.fr A : eleve@ensi-bourges.fr Objet : exam Exam demain 9h Internet

Impossibilit pour un correspondant de nier avoir reu ou mis un message : signature lectronique Les solutions sappuient sur le chiffre cls publiques

Faux prof
69

Vrai serveur lve

70

SECURITE : LES MOYE

Identification, authentification

Politiques dautorisations et privilges Gestion des droits et des privilges Contrles daccs logiques et physiques Profils de protection, classes de fonctionnalits valuation, certification, accrditation, agrment, Journalisation ("audit") des vnements lis la scurit

71