1 / 81

SECURITE DU SYSTEME D’INFORMATION (SSI) 3 IAG

Institut Supérieur de Comptabilité et d’Administration des Entreprises. SECURITE DU SYSTEME D’INFORMATION (SSI) 3 IAG. 2010-2011. CHAPITRE 2 Les risques et menaces informatique. Protection et sécurité. Sécurité informatique. La confidentialité

jamal-bowman
Download Presentation

SECURITE DU SYSTEME D’INFORMATION (SSI) 3 IAG

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI)3 IAG 2010-2011

  2. CHAPITRE 2 Les risques et menaces informatique

  3. Protection et sécurité

  4. Sécurité informatique • La confidentialité • Contraintes sur la divulgation d’informations • P.ex. qu’un fichier ne soit pas lu par un utilisateur n’ayant pas les droits d’accès • P.ex: que personne d’autre que le commerçant apprenne un numéro de carte de crédit dans une transaction de commerce électronique • L’intégrité • Contraintes sur les modifications d’informations • P.ex. que seul le propriétaire d’un fichier puisse changer les droits d’accès • P.ex: seule la banque peut modifier le contenu d’un compte • La disponibilité • Contraintes sur l’accessibilité d’informations et de services • P.ex: un utilisateur ne doit pas être empêché de lire ses propres mails • P.ex: que le serveur de banque soit toujours accessibles aux participants d’une transaction de commerce électronique

  5. Sécurité informatique • La protection • Ensemble des mécanismes qui contrôlent les actions des utilisateurs (processus/programmes) • P.ex. le chiffrement des données sur disque ou sur le réseau, mots de passe, matériel du processeur qui restreint l’adresse générée et qui empêche les programmes utilisateurs de communiquer avec le contrôleur de disque • La sécurité • La préservation de la confidentialité et de l’intégrité des informations du système • Une attaque est une action qui peut violer la sécurité • Une attaque peut être intentionnelle ou accidentelle • La sécurité est mise en œuvre par des mécanismes de protection

  6. Les menaces

  7. Les menaces - L'espionnage • Principalement d'origine étatique cette menace concerne particulièrement les informations stratégiques d'une nation. Les renseignements d'ordre militaire, diplomatique, mais aussi, économiques, industriels, technologiques, scientifiques, financiers et commerciaux seront recherchés en priorité. • S'il est moins fréquent, mais surtout non avoué que des entreprises ou des sociétés aient recours à l'espionnage, nous pouvons imaginer l'intérêt que cela représente pour leur activités en gain de temps et d'investissement. Les techniques restent les mêmes et la différence se fera sur l'ampleur des moyens utilisés. Il est concevable de penser que des États utilisent leurs services de renseignement pour fournir des informations à leurs industriels. Il est aussi de notoriété publique que des sociétés privées offrent leur services pour obtenir des renseignements. • L'espionnage va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations. - La perturbation • L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible. • La perturbation va influer sur la disponibilité et l'intégrité des services et des informations d'un SI.

  8. Les menaces (suite) - Le vol • Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il s'agit de données et encore plus de ressources informatiques. En effet une simple copie suffit pour s'approprier une information. Cette opération n'est pas toujours facile à déceler. • Le vol de données va permettre d'enfreindre les mesures de sécurité protègent la confidentialité des informations. Le vol de ressources est plus insidieux, car il se peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des informations et des services. - La fraude physique • Elle peut consister à récupérer les informations oubliées ou non détruites par l'adversaire ou le concurrent. l'attaquant portera une attention particulière aux listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers des organismes visés. • Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations.

  9. Les menaces (suite) - Le chantage • Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que de nombreuses données concernant la vie privée des personnes ou les activités d'une organisation sont gardées sur des ordinateurs. • Le chantage peut aussi porter sur une menace de sabotage à l'encontre des installations d'une organisation. • La chantage peut mettre en cause aussi bien la confidentialité, l'intégrité, que la disponibilité des informations et des services. - Le sabotage • Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou une de ses composantes. • Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité des services. - Les accès illégitimes • Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant son identité. Elle vise tout particulièrement l'informatique. • Les accès illégitimes portent atteinte à la confidentialité des informations.

  10. Attaquants Pirates Fraudeurs Espions Terroristes

  11. Pirates Nous proposons les deux profils de pirate les plus souvent identifiées : • hacker : individu curieux, qui cherche à se faire plaisir. Pirate par jeu ou par défi, il ne nuit pas intentionnellement et possède souvent un code d'honneur et de conduite [1]. Plutôt jeune, avec des compétences non négligeables, il est patient et tenace ; -cracker : plus dangereux que le hacker, cherche à nuire et montrer qu'il est le plus fort. Souvent mal dans sa peau et dans son environnement, il peut causer de nombreux dégâts en cherchant à se venger d'une société - ou d'individus - qui l'a rejeté ou qu'il déteste. Il veut prouver sa supériorité et fait partie de clubs où il peut échanger des informations avec ses semblables.

  12. Fraudeurs Les fraudeurs se répartissent en deux catégories avec des compétences similaires : - le fraudeur interne : possédant de bonnes compétences sur le plan technique, il est de préférence informaticien et sans antécédents judiciaires. Il pense que ses qualités ne sont pas reconnues, qu'il n'est pas apprécié à sa juste valeur. Il veut se venger de son employeur et chercher à lui nuire en lui faisant perdre de l'argent. Pour parvenir à ses fins il possède les moyens mis à sa disposition par son entreprise qu'il connaît parfaite- ment. - le fraudeur externe : bénéficiant presque toujours d'une complicité, volontaire ou non, chez ses victimes, il cherche à gagner de l'argent par tous les moyens. Son profil est proche de celui du malfaiteur traditionnel. Parfois lié au grand banditisme, il peut attaquer une banque, falsifier des cartes de crédit ou se placer sur des réseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser sa facture d'électricité ou de téléphone.

  13. Espions Ils travaillent pour un État ou pour un concurrent. Choisis pour leur sang-froid et leur haut niveau de qualification, il sont difficiles à repérer. - l'espion d'État : professionnel, entraîné, rompu à toutes les techniques, il dispose de nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller jusqu'à acquérir, légalement ou non, une copie du système qu'il veut attaquer pour l'analyser et l'étudier sous toutes ses coutures. Il est patient et motivé. Il exploite les vulnérabilités les plus enfouies d'un SI car elles seront les plus difficiles à détecter et il pourra les utiliser longtemps. Il sait garder le secret de sa réussite pour ne pas éveiller les soupçons et continuer son travail dans l'ombre. - l'espion privé : souvent ancien espion d'État reconverti, il a moins de moyens mais une aussi bonne formation. Terroristes Moins courant, le terroriste est aidé dans sa tâche par l'interconnexion et l'ouverture des réseaux. - le terroriste : très motivé, il veut faire peur et faire parler de lui. Ses actions se veulent spectaculaires.

  14. Techniques d’attaque

  15. Techniques d’attaque • Attaques physiques Nous plaçons ici les attaques qui nécessitent un accès physique aux installations ou qui se ser- vent de caractéristiques physiques particulières. La destruction pure et simple ou la coupure d'une ligne ne sont pas évoquées car non spécifiques à l'informatique • Attaques Logiques

  16. Attaques physiques - Interception L'attaquant va tenter de récupérer un signal électromagnétique et de l'interpréter pour en déduire des informations compréhensibles. L'interception peut porter sur des signaux hyper- fréquences ou hertziens, émis, rayonnés, ou conduits. L'agresseur se mettra ainsi à la recher- che des émissions satellites, et radio, mais aussi des signaux parasites émis par les SI, principalement par les terminaux, les câbles et les éléments conducteurs entourant les SI. Les techniques d'interception seront très variées pour les différents cas évoqués. - Brouillage Utilisée en télécommunication, cette technique rend le SI inopérant. C'est une attaque de haut niveau, car elle nécessite des moyens importants, qui se détectent facilement. Elle est surtout utilisée par les militaires en temps de crise ou de guerre. - Écoute L'écoute consiste à se placer sur un réseau informatique ou de télécommunication et à analyser et à sauvegarder les informations qui transitent. De nombreux appareils du commerce facilitent les analyses et permettent notamment d'interpréter en temps réel les trames qui circulent sur un réseau informatique.

  17. Attaques logiques - intrusion Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire passer pour quelqu'un d'autre et obtenir les privilège ou des droits de celui dont on usurpe l'identité. Un utilisateur est caractérisé par : • ce qu'il est, (empreintes, digitales ou rétiniennes, vocales, ou toute autre authentifiant biométrique), • ce qu'il possède (un badge, une carte mag- nétique, à puce, un jeton, un bracelet...) • ce qu'il sait (un mot de passe, sa date de naissance, le prénom de ses parents...). Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs éléments propres à l'utilisateur. Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera de le lire quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le réseau. Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à reproduire une.

  18. Attaques logiques - Substitution • Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant des terminaux distants. L'agresseur écoute une ligne et intercepte la demande de déconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se substituer à ce dernier et continuer une session normale sans que le système note un changement d'utilisateur. • Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés que par leur adresse Internet. Un attaquant peut alors attendre qu'une machine soit arrêtée pour se faire passer pour elle en usurpant l'adresse de la machine éteinte. - Saturation (denie de service) • Cette attaque contre la disponibilité consiste à remplir une zone de stockage ou un canal de communication jusqu'à ce que l'on ne puisse plus l'utiliser. Il en résultera un déni de service.

  19. Les infections informatique • Virus • Cheval de troie • Ver • Bombe • Spam • Spayware • keylogger

  20. Virus • Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se propager en se recopiant sur un programme et de se déclencher comme une bombe logique quand un événement se produit. • Ses actions ont généralement comme conséquence la perte d'intégrité des informations d'un SI et/ou une dégradation ou une interruption du service fourni.

  21. Cheval de Troie • On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. • Le nom « Cheval de Troie » provient d'une légende • La légende veut que les Grecs, n'arrivant pas à pénétrer dans de la ville Troie , eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.

  22. Cheval de Troie (suite) Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

  23. Cheval de Troie (suite) Un cheval de Troie peut par exemple : - copier des données sensibles, - exécuter tout autre action nuisible, - voler des mots de passe . Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor

  24. Cheval de Troie (suite) • Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accéder à votre machine par le port qu'il a ouvert.

  25. Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Internet Port POP3 Port FTP Cheval de Troie (suite) Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis.

  26. Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Internet Port POP3 Port associé à un logiciel pirate Port FTP Cheval de Troie (suite)

  27. Cheval de Troie (suite) Partie secrète à l’usage du pirate Partie affichée publiquement, alléchante pour les utilisateurs Logiciel offert gratuitement sur Internet prétendant vous rendre service

  28. Les bombes logiques • Les bombes logiques sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. • Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 3ème anniversaire de la catastrophe nucléaire ... • Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.

  29. Ver • Un ver informatique (en anglais worm) est un programme qui peut s'auto reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus réseau. • Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies à tous ces destinataires. • Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché. • Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en fichier attachés.

  30. Spams • Le spamming consiste  à envoyer massivement des  e-mails  de type généralement publicitaire (dit aussi "junk mail"), à un grand nombre de personnes n'ayant pas sollicité ce type d'envoi publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites à lettres de messages publicitaires inutiles, non sollicités et généralement mensongers. Les e-mails "spammés" constituent  actuellement la quasi-moitié des e-mails "circulant" à l'échelle planétaire • Le but premier du spam est généralement  de faire de la publicité à moindre cout. Toutefois, Il est aussi source d'essai d'abus, via des offres alléchantes (vous avez gagné ...) et bien sures mensongères, dont le but est de vous attirer à acheter un produit ou un service douteux, ou bien d'essayer de vous abuser, en vous extorquant de l'argent (grâce à dieu, peu de personnes de chez nous possèdent des cartes de crédit en devises ..).Il est aussi parfois question de publicité "politique" ou "religieuse" dangereuses pour les enfants (l'église de Scientologie avait récemment envoyé 1200 spams en 15 jours sur un groupe de discussion). • Il est intéressant de noter à ce sujet le nouveau phénomène apparu, consistant dans l'exploitation de virus Internet (vers) pour leur jouer le rôle de diffuseurs (relais) de spam, dans un essai de contourner l'efficacité des outils anti-spam.

  31. Spams • Le principal inconvénient du "Spam" est la gêne et la perte de temps induites aux internautes : • Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur courrier et nettoyer leurs boites à lettres plus fréquemment, • Risque de leurrer un message important, "caché" entre les multiples messages de "spam", • "Corruption" des utilisateurs non avertis, avec des offres alléchantes, et bien sûr fausses, • Atteinte à la morale, via des messages de publicité sexuels, politiques ou religieux ... • - Le second inconvénient, non moins important, du spamming touche la bande réseau qu'il consomme inutilement, monopolisant "inutilement" une bonne partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL avait une fois reçu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le plus important "spammeur" du réseau Internet). Cela induit des coûts supplémentaires pour les fournisseurs de service et d'accès à Internet car ils doivent acheter des ordinateurs supplémentaires, pour renforcer leurs serveurs de courrier et mettre en place une plus grande largeur de bande pour contrecarrer la consommation de bande induite par le Spam.

  32. Spyware • Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé ( on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).

  33. Spyware (suite) • Les récoltes d'informations peuvent ainsi être : - la traçabilité des URL des sites visités, - le traquage des mots-clés saisis dans les moteurs de recherche, - l'analyse des achats réalisés via internet, - voire les informations de paiement bancaire (numéro de carte bleue / VISA) - ou bien des informations personnelles.

  34. Spyware (suite) • Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). • En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

  35. Keylogger Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage. Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur .

  36. Keylogger (suite) Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé).

  37. Déroulement d’une attaque informatique

  38. Méthodologie d’une intrusion sur un réseau Pour s'introduire dans un système informatique les pirates utilisent une méthodologie, il ne faut pas connaître comment compromettre un système mais comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir. En effet, la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système. Le principe de la protection est de ne pas donner aucune précision sur la manière dont les failles sont exploitées, mais expliquer comment faire pour les déceler et les corriger.

  39. Méthodologie globale Les pirates (hackers) ayant l'intention de s'introduire dans les systèmes informatiques recherchent dans un premier temps des failles, c'est-à-dire des vulnérabilités nuisibles à la sécurité du système, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel 'une entreprise. Les termes de vulnérabilité ( brèche ou en langage plus familier - trou de sécurité « en anglais security hole ») sont également utilisés pour désigner les failles de sécurité.

  40. Méthodologie globale • Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du terme technique signifiant exploiter une vulnérabilité), la première étape du pirate consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'oeuvre de script kiddies essayant bêtement des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte. • Une fois que le pirate a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine.

  41. Méthodologie globale • Lorsqu'un accès administrateur (le terme anglais root est généralement utilisé) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le pirate possède alors le plus haut niveau de droit sur la machine. • S'il s'agit d'un pirate, la dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises.

  42. La récupération d'informations sur le système L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations concernant les infrastructures de communication du réseau cible : • Adressage IP, • Noms de domaine, • Protocoles de réseau, • Services activés, • Architecture des serveurs,

  43. Consultation de bases publiques • En connaissant l‘adresse IP publique d'une des machines du réseau ou bien tout simplement le nom de domaine de l‘entreprise, un pirate est potentiellement capable de connaître l'adressage du réseau tout entier, c'est-à-dire la plage d'adresses IP publiques appartenant à l‘entreprise visée et son découpage en sous réseaux. • Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine : http://www.iana.net http://www.ripe.net pour l'Europe http://www.arin.net pour les Etats-Unis

More Related