Your SlideShare is downloading. ×
Cours CyberSécurité - Infrastructures Critiques
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Cours CyberSécurité - Infrastructures Critiques

626
views

Published on

Cours CyberSécurité - Université Versailles St Quentin - Infrastructures Critiques et vitales - Avril 2013

Cours CyberSécurité - Université Versailles St Quentin - Infrastructures Critiques et vitales - Avril 2013

Published in: Education

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
626
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Avril 2013Franck Franchin1
  • 2. Master Droit - Franck Franchin - © 2013 Les systèmes ou les actifs essentiels au niveau d’unpays pour assurer le fonctionnement de la société etde l’économie :◦ Réseaux de production et de distribution de l’énergie◦ Réseaux de production et de distribution de l’eau◦ Réseaux de transports des biens et des personnes◦ Réseaux de télécommunications◦ Production et distribution de la nourriture◦ Santé publique◦ Services financiers◦ Sécurité de l’Etat, des biens et des citoyens Une définition plus limitée restreint l’expression auxbesoins vitaux d’un pays
  • 3. Master Droit - Franck Franchin - © 2013 L’Union Européenne a défini en 2006, puis 2009◦ EPCIP - European Programme for Critical InfrastructureProtection◦ Chaque infrastructure critique identifiée doit disposerd’un OSP (Operator Security Plan) : identification desactifs, analyse de risques et de vulnérabilités,procédures et mesures de protection◦ ENISA Les USA ont commencé à mettre en place unedoctrine en 1996 (programme CIP), étendue en2001 dans le ‘Patriot Act’
  • 4. Master Droit - Franck Franchin - © 2013 Militaire :◦ ‘Pearl Harbor électronique’◦ Atteinte aux intérêts vitaux de l’Etat◦ Cyberterrorisme Industrie :◦ Vol de propriété intellectuelle◦ Perte d’exploitation◦ Cybercriminalité
  • 5. Master Droit - Franck Franchin - © 20135
  • 6. Master Droit - Franck Franchin - © 2013 Première version active probablement depuis Juin 2009 Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez un deses clients iraniens W32.Stuxnet - 2 serveurs C&C situés en Malaisie Propagation via USB (clé) Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS) MAJ possible sans C&C via un P2P (RPC) Cible : Siemens SIMATIC Series 7 PLC/WinCC Infection différente selon la cible (PLCs) Entre 20’000 et 50’000 PCs contaminé, selon Symantec, plus de 100’000selon Kaspersky 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan Payload complexe : vol de données, compromission, sabotage Des sites de support ont été victimes de DoS (Ping Flood) depuis la Chine
  • 7. Master Droit - Franck Franchin - © 2013Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 msLa cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de NatanzFamille de PLC concernés :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPUPourtant, l’Iran ne devrait pas disposerde technologies Siemens Scada(sanctions ONU) ?
  • 8. Master Droit - Franck Franchin - © 2013 Quelques chiffres :◦ Développement évalué à 10 hommes.ans◦ Entre 6 et 8 personnes/teams différents◦ Un développement étalé sur plusieurs années (différentes versions d’outilsde développement)◦ Une faille zéro-day peut se négocier à $200’000 (il y en avait 4) Les moyens :◦ Les certificats ont été volés à deux sociétés sur le même site physique enChine - Le vol ‘logique’ à la Zeus est donc statistiquement peu probable et levol ‘physique’ par intrusion ou compromission est à privilégier◦ Les clés USB ont probablement été introduites en Iran via le sous-traitantrusse ou via des opérationnels compromis. Plusieurs versions semblentavoir été introduites sucessivement Les fantasmes :◦ Stuxnet contient dans son code le mot ‘Myrtus’ qui fait référence au Livred’Esther de l’Ancien Testament, reine perse qui a sauvé son peuple del’extermination
  • 9. Master Droit - Franck Franchin - © 2013 Découvert en Mai 2012 Charge virale importante : 20 Mo Inclus un serveur SQLite et une machine virtuelle Lua Interception d’emails, de fichiers, enregistrement deconversations en ligne Serait antérieur à Stuxnet ! Coût évalué à $100M par Kaspersky Labs, 5 ans dedéveloppement Cible : Iran Objectif : collecte de données pré-Stuxnet9
  • 10. Master Droit - Franck Franchin - © 2013 Découvert en Juin 2012 Il aurait commencé à infecter les ordinateurs enSeptembre 2011 Kit Cheval de Troie destiné à espionner les échanges dedonnées bancaires Se déclenche sur des mots clés comme :paypal, mastercard, eurocard,visa, americanexpress, bankofbeirut, creditlibanais, amazon, facebook, gmail, hotmail, ebay mais passur Audi Bank qui est un poids lourd local Cible : banques libanaises principalement Utilise la même vulnérabilité ‘clé USB’ que Stuxnet etFlame10
  • 11. Master Droit - Franck Franchin - © 2013 Aucun autre malware n’a jamais intégré ce type demécanisme Payload étrange : une partie du code reste non déchiffrécar la clé de déchiffrement serait lié à une configurationparticulière… Même famille : Duqu, Stuxnet, Flame, Gauss11