• Save
Cours CyberSécurité - Infrastructures Critiques
Upcoming SlideShare
Loading in...5
×
 

Cours CyberSécurité - Infrastructures Critiques

on

  • 413 views

Cours CyberSécurité - Université Versailles St Quentin - Infrastructures Critiques et vitales - Avril 2013

Cours CyberSécurité - Université Versailles St Quentin - Infrastructures Critiques et vitales - Avril 2013

Statistics

Views

Total Views
413
Views on SlideShare
406
Embed Views
7

Actions

Likes
2
Downloads
0
Comments
0

1 Embed 7

http://www.linkedin.com 7

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cours CyberSécurité - Infrastructures Critiques Cours CyberSécurité - Infrastructures Critiques Presentation Transcript

  • Avril 2013Franck Franchin1
  • Master Droit - Franck Franchin - © 2013 Les systèmes ou les actifs essentiels au niveau d’unpays pour assurer le fonctionnement de la société etde l’économie :◦ Réseaux de production et de distribution de l’énergie◦ Réseaux de production et de distribution de l’eau◦ Réseaux de transports des biens et des personnes◦ Réseaux de télécommunications◦ Production et distribution de la nourriture◦ Santé publique◦ Services financiers◦ Sécurité de l’Etat, des biens et des citoyens Une définition plus limitée restreint l’expression auxbesoins vitaux d’un pays
  • Master Droit - Franck Franchin - © 2013 L’Union Européenne a défini en 2006, puis 2009◦ EPCIP - European Programme for Critical InfrastructureProtection◦ Chaque infrastructure critique identifiée doit disposerd’un OSP (Operator Security Plan) : identification desactifs, analyse de risques et de vulnérabilités,procédures et mesures de protection◦ ENISA Les USA ont commencé à mettre en place unedoctrine en 1996 (programme CIP), étendue en2001 dans le ‘Patriot Act’
  • Master Droit - Franck Franchin - © 2013 Militaire :◦ ‘Pearl Harbor électronique’◦ Atteinte aux intérêts vitaux de l’Etat◦ Cyberterrorisme Industrie :◦ Vol de propriété intellectuelle◦ Perte d’exploitation◦ Cybercriminalité
  • Master Droit - Franck Franchin - © 20135
  • Master Droit - Franck Franchin - © 2013 Première version active probablement depuis Juin 2009 Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez un deses clients iraniens W32.Stuxnet - 2 serveurs C&C situés en Malaisie Propagation via USB (clé) Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS) MAJ possible sans C&C via un P2P (RPC) Cible : Siemens SIMATIC Series 7 PLC/WinCC Infection différente selon la cible (PLCs) Entre 20’000 et 50’000 PCs contaminé, selon Symantec, plus de 100’000selon Kaspersky 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan Payload complexe : vol de données, compromission, sabotage Des sites de support ont été victimes de DoS (Ping Flood) depuis la Chine
  • Master Droit - Franck Franchin - © 2013Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 msLa cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de NatanzFamille de PLC concernés :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPUPourtant, l’Iran ne devrait pas disposerde technologies Siemens Scada(sanctions ONU) ?
  • Master Droit - Franck Franchin - © 2013 Quelques chiffres :◦ Développement évalué à 10 hommes.ans◦ Entre 6 et 8 personnes/teams différents◦ Un développement étalé sur plusieurs années (différentes versions d’outilsde développement)◦ Une faille zéro-day peut se négocier à $200’000 (il y en avait 4) Les moyens :◦ Les certificats ont été volés à deux sociétés sur le même site physique enChine - Le vol ‘logique’ à la Zeus est donc statistiquement peu probable et levol ‘physique’ par intrusion ou compromission est à privilégier◦ Les clés USB ont probablement été introduites en Iran via le sous-traitantrusse ou via des opérationnels compromis. Plusieurs versions semblentavoir été introduites sucessivement Les fantasmes :◦ Stuxnet contient dans son code le mot ‘Myrtus’ qui fait référence au Livred’Esther de l’Ancien Testament, reine perse qui a sauvé son peuple del’extermination
  • Master Droit - Franck Franchin - © 2013 Découvert en Mai 2012 Charge virale importante : 20 Mo Inclus un serveur SQLite et une machine virtuelle Lua Interception d’emails, de fichiers, enregistrement deconversations en ligne Serait antérieur à Stuxnet ! Coût évalué à $100M par Kaspersky Labs, 5 ans dedéveloppement Cible : Iran Objectif : collecte de données pré-Stuxnet9
  • Master Droit - Franck Franchin - © 2013 Découvert en Juin 2012 Il aurait commencé à infecter les ordinateurs enSeptembre 2011 Kit Cheval de Troie destiné à espionner les échanges dedonnées bancaires Se déclenche sur des mots clés comme :paypal, mastercard, eurocard,visa, americanexpress, bankofbeirut, creditlibanais, amazon, facebook, gmail, hotmail, ebay mais passur Audi Bank qui est un poids lourd local Cible : banques libanaises principalement Utilise la même vulnérabilité ‘clé USB’ que Stuxnet etFlame10
  • Master Droit - Franck Franchin - © 2013 Aucun autre malware n’a jamais intégré ce type demécanisme Payload étrange : une partie du code reste non déchiffrécar la clé de déchiffrement serait lié à une configurationparticulière… Même famille : Duqu, Stuxnet, Flame, Gauss11