01/02/08 1

ENSSAT LSI3

chapitre 1

Cours Sécurité des réseaux et des systèmes informatiques

01/02/08 2

Plan du cours (1/2)Introduction à la cryptologie (P.Strillou, 10h, P19 P20 P21 P22 )

1. Cryptographie à clé privée : généralités, systèmes simples, standards (DES, AES)

2. Fondement arithmétiques de la cryptographie3. Cryptographie à clé publique : généralité et système RSA.4. Advanced Encryption Standard (AES) : chiffrage et déchiffrage,

cadencement des clés.Sécurité des systèmes d’information : Les enjeux de la sécurité dans

l’usage des TIC.

01/02/08 3

Plan du cours (2/2)Modalités de mise en œuvre d’une politique de prévention et de sécurisation

1. Mise en œuvre d’une politique de prévention : méthodologie, organisations compétentes, diminuer les risques (chartes, gestion des mots de passe).(J-P.Leguine )

2. Sécurisation des infrastructures de communication (moyens d’accès, VLAN, filtrage de paquets IP, métrologie, cas du sans fil et du nomadisme.(J-P.Leguine )

3. Aspects juridiques généraux : Internet et la loi, la protection des personnes et des données (J-P.Leguine ).

4. Sécurisation des systèmes UNIX (installation, gestion de comptes, authentification, protection des fichiers, sécurisation des accès réseau, outils, recommandations) (V.Carpier ).

Outils d’authentification, de sécurisation des systèmes et des applications1. Introduction aux architectures Web d’authentification commune pour un ensemble

d’application (Single Sign-On)(O.Salaün).2. Des outils : les protocoles SSH, SSL, S/MIME; les tunnels VPN et SSH, les

infrastructures de gestion des clés (IGC)(F.Guilleux ).3. Les signatures : principe, mise en œuvre et fondements juridiques(F.Guilleux).

Evaluation1. DS (P.Strillou, 1h).2. DS (V.Barreaud, 1h).

01/02/08 4

Place du module dans la formation LSI

• LSI1: – UC systèmes d’exploitation

• LSI2: – UC réseaux, répartition et communication– UC systèmes d’exploitation temps réel

• LSI3:– UC génie des réseaux

XML, SR&PI, SR&SI, Conférences

01/02/08 5

Références

• Organisations gouvernementales– Direction centrale de la sécurité des systèmes

d’information (DCSSI)– Centre de la formation à la sécurité des

systèmes d’information (CFSSI)

• Associations Privées– Club de la Sécurité de l'Information Français – Observatoire de la Sécurité des Systèmes

d'Information et des Réseaux

01/02/08 6

Chapitre 1:

Sécurité des systèmes d’information : les enjeux de la sécurité dans l’usage des TIC

01/02/08 7

La SSI, pourquoi?

• Opérationnel– Réseaux et SI: outils critiques

• Juridique– Imposé par la loi

• Stratégique– Concurrence, Confiance, Interaction avec

partenaires

• Logistique– Gestion des risques

01/02/08 8

Que protéger?

• Informations classées « défense »:– Protégées au niveau national– Confiées à la France par des organismes ou pays– Relatives aux systèmes d’armements ou d’opérations

• Informations confidentielles du service public et des droits du citoyen

• Des équipements et des informations vitales au système

Règle: protection complète et protection en couches (protection de la protection)

01/02/08 9

Organisation de la SSI en France

Dépendent aussi du SGDN:

• CIEEMG (étude sur les exportations de matériels de guerre/Technologies et transferts sensibles)

• CIPRS (Points et réseaux sensibles/Sécurité de l’état)

01/02/08 10

Les acteurs

• Le premier Ministre• Les instances ministérielles (SGDN)

– La direction centrale de la SSI– La commission interministérielle pour la SSI

• Les ministres : le Haut fonctionnaire de la défense– Le fonctionnaire de SSI– Les autorités qualifiées en SSI– Les agents qualifiés en SSI

• Les entreprises : les responsables SSI• Les citoyens, le parlement

01/02/08 11

Architecture de responsabilité

SGDN/DCSSIprotection/défense

régulation/compétences scientifiques et techniques

Ministèrede la Justice

Ministère de la Défense Nationale

Ministère de l’Industrie,

de l’Economie et des Finances

Ministère de la FonctionPublique

CybercriminalitéRépression

AttaqueDéfense

Intelligence économiquePolitique industrielle

Innovation technologique

Administration électronique

01/02/08 12

Définitions

Menace?• Interne (70%) ou externe• Accidentelle ou intentionnelle• Active ou passive• Physique ou logique

Sur quoi? Les actifs (Biens)

Menace / Risque / Vulnérabilité /Attaque

01/02/08 13

Origines de la menaceUne connaissance critique pour établir une

politique de sécurité. (Fiche d’Expression Rationnelle des Objectifs de Sécurité)

• Accidents (divulgation, perte, incendie, …)• Menaces intentionnelles (malicieuse)

– Stratégique – Idéologique – Terroriste – Cupide – Ludique – Vengeur

01/02/08 14

Catégories de menace

• Espionnage

• Perturbation

• Vol

• Fraude Physique

• Chantage

• Sabotage

• Accès illégitimes

01/02/08 15

Sécuriser l’information, c’est quoi?• Sécuriser des opérations sur l’information numérique qui

protègent et défendent cette information et les systèmes en assurant leur:– Confidentialité– Intégrité– Disponibilité– Authentification– Non-Répudiation.

• Se donner les moyens de restaurer les systèmes d’information en y incorporant:– La protection de l’information– La détection des agresseurs– Des capacités de réaction.

01/02/08 16

La confidentialitéPropriété d’une information qui n’est pas

disponible, ni divulguée aux personnes, entités ou processus non autorisés.

Protection contre une divulgation non autorisée

ou

Personne d’autre que vous et l’expéditeur ne connaissent l’information

01/02/08 17

L’intégritéPropriété assurant que ces données n’ont pas été

modifiées ou détruites de façon non autorisée.

Garantie que le système et l’information traitée ne sont modifiées que par une action volontaire et légitime.

Protection contre une modification non autoriséeou

Personne ne peut entendre/recevoir exactement ce que vous dites/envoyez

01/02/08 18

La disponibilitéPrévention d’un déni non autorisé d’accès à

l’information ou à des ressources.

Garantie d’accès pour les seuls utilisateurs autorisés

ou

Garantie d’accès à un service informatique quand on le demande

01/02/08 19

Authentification (1/2)L’authentification a pour but de vérifier l’identité

dont une entité se réclame. Elle est généralement précédée d’une

identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté.

Preuve de l’identité de l’origineOu

Connaître de manière sûre celui qui a envoyé le message.

01/02/08 20

Authentification (2/2)4 classes de conventions1. Un secret que la personne partage et peut

transcrire ou énoncer (mdp, pin, formule magique)

2. Un objet que la personne possède comme un bien matériel (clef, carte, télécommande)

3. Un caractère de la personne / biométrie (empreinte palmaire, digitale, rétinienne, auriculaire, ADN)

4. Un savoir faire de la personne (signature manuscrite, signal de voix)

01/02/08 21

La non-répudiation• La répudiation est le fait de nier avoir

participé à des échanges• Deux formes de non-répudiation:

– La non-répudiation de l’origine garantit que l’émetteur d’informations ne peut nier impunément avoir envoyé des informations.

– La non-répudiation de la réception garantit que le destinataire d’informations ne peut nier impunément avoir reçu des informations.

Notion juridique d’imputabilité

01/02/08 22

La notion de risque

• La probabilité qu’une menace particulière, utilisant une attaque spécifique puisse exploiter une vulnérabilité particulière d’un système résultant en une conséquence non désirée.

• Processus d’évaluation du risque:– Identifier les biens– Déterminer les vulnérabilités– Exprimer la probabilité d’exploitation– Calculer la perte attendue

01/02/08 23

La nouvelle donne

• Systèmes d’information : Centres nerveux des nations et des entreprises←Intégration de l’informatique et des

télécommunications←Numérisation, dématérialisation des

procédures

→Complexité croissante des systèmes→Multiplication des points de vulnérabilité

01/02/08 24

Vulnérabilité du SI à l’écoute passive

Branchement

Interception Fréquence Hertz

Interception satellite

01/02/08 25

Vulnérabilité du SI à l’intrusionPorte dérobée

Connexion

Vol de session

Télémaintenance

Interception GSM

Déguisement

01/02/08 26

Vulnérabilité du SI à la prise de contrôleCheval de TroieVirusZombies

01/02/08 27

Causes de la vulnérabilité

1. Fossé entre ce que l’on attends d’un système et ce qu’il peut faire

2. Réglementation toujours en retard sur la technique

3. Les individus sont … individuels

01/02/08 28

Une vulnérabilité dans le temps (securite.org)

Découverte dela faille

(Re)découvertede la faille

ou fuite

Publication Correctifdisponible

Correctifappliqué

“Victimes”

Temps

Correctif“complet”

Exploit

“Proof of Concept” Automatisation

01/02/08 29

Vingt vulnérabilités très répanduesSANS Institut www.sans.org/top20

• Operating Systems– W1. Internet Explorer– W2. Windows Libraries– W3. Microsoft Office– W4. Windows Services– W5. Windows Configuration Weaknesses– M1. Mac OS X– U1. UNIX Configuration Weaknesses

• Cross-Platform Applications– C1 Web Applications– C2. Database Software– C3. P2P File Sharing Applications– C4 Instant Messaging– C5. Media Players– C6. DNS Servers– C7. Backup Software– C8. Security, Enterprise, and Directory Management Servers

• Network Devices– N1. VoIP Servers and Phones– N2. Network and Other Devices Common Configuration Weaknesses

• Security Policy and Personnel– H1. Excessive User Rights and Unauthorized Devices– H2. Users (Phishing/Spear Phishing)

• Special Section– Z1. Zero Day Attacks and Prevention Strategies

•

01/02/08 30

Les vulnérabilités

• Internet Risk Summary

http://www.iss.net• Centre d’Expertise gouvernemental de Réponse

et de Traitement des Attaques informatiques.

http://www.certa.ssi.gouv.fr/site/2007index.html• …

01/02/08 31

Agresseurs

Malicieux Non-Malicieux

AccidentsVictime d’attaque

Méconnaissance

Interne Externe

EmployéAncien employé

Prestataire Juvénile Pirate Organisation

01/02/08 32

Attaquants?

• Pirates– Hacker – Cracker

• Fraudeurs– Interne– Externe

• Espions– Etat– Privés

• Terroristes (moins courant)

01/02/08 33

Armes?

• Aptitudes? Compétences techniques– Faible : dénaturer/abimer/perturber, observer/fouiller

physiquement, divulguer– Moyenne : chercher, écouter, surveiller, abuser– Forte : modifier, fabriquer un ver/une bombe

• Ressources?– Moyens de calcul– Système dupliqué– Contacts

01/02/08 34

Cibles?physiques matérielles logiques finales

Comptes administrations

Systèmes logiciels

Comptes application

Mots de passe

Annuaires

Ressourcesfinancières

Systèmesmilitaires

Actions politiques

informations

01/02/08 35

Quelles actions vers quelles cibles?

• Des « coups d’épingle » des hackers … aux attaques structurées du cyber-terrorisme

• Des actions malveillantes isolées … ou coordonnées

• Des attaques de moyens informatiques … à d’autres moyens

• Des effets isolés… aux effets domino.

01/02/08 36

Techniques d’attaques physiques

Accès physique aux installations

• Interception (rayonnements, TEMPEST)

• Brouillage (rends le SI innopérant)

• Ecoute (Dérivation, Chiffrement)

• Balayage (Test d’opportunité)

• Piégeage (en phase de conception)

• Destruction

01/02/08 37

Techniques d’attaques logiques (1/4)• Fouille

De la mémoire et de supports libérés

• Canal Caché (haut niveau)De stockage / temporel / de raisonnement / de

fabrication

• DéguisementBiométrie / Authentification numérique /

Authentification logique (question)

• MystificationSimulation d’une machine (~phishing)

01/02/08 38

• RejeuVariante du déguisement

• SubstitutionEcoute + Interception et d’un accès distant

• Faufilement… passer les barrières du métro derrière

quelqu’un

• SaturationDéni de service

Techniques d’attaques logiques (2/4)

01/02/08 39

• Cheval de Troieconception, complicité et attractivité

• SalamiRécupération d’informations parcellaires puis

regroupement / petites sommes d’argents

• TrappePar le développeur (intentionnel ou oubli)

• Bombedéveloppeur

Techniques d’attaques logiques (3/4)

01/02/08 40

• VirusReproduction, nuisible, combinable avec une autre

attaque• Ver

Collecte d’information, se déplace• Asynchronisme

Exploitation des espaces mémoires de processus en veille ou en exécution

• SouterrainDescendre d’un degré d’abstraction par rapport à la

protection• Cryptanalyse

Déchiffrement

Techniques d’attaques logiques (4/4)

01/02/08 41

Les technologies de la SSI

Chiffrement des données

Protection du copyright

Filtrage d’adresseet de site web

cryptographie

licences

authentification

Carte à puce

Détection d’intrusion

Analyse de traces

antivirusScanner de vulnérabilité

Garde barrière

Réseaux privés virtuels

Chiffrement des messages

Contrôle de contenus

INFRASTRUCTURES

SERVICESCONTENUS