Geeks
Anonymes

LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE

Pierre-Olivier Bourge
17 décembre 2013
(c) Pierre-Olivi...
Geeks
Anonymes

LA “SÉCURITÉ
INFORMATIQUE” POUR
UNE PETITE ÉQUIPE

« Le système d'information représente un patrimoine ess...
Responsable IT dans
une petite structure ... ?
“développeur”
admin réseau
scripts
réseau
parc machines

responsable
sécuri...
La	
  sécurité	
  ?

pour	
  les	
  autres	
  ?
Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
La	
  sécurité	
  
informa3que	
  ?
“ 60 % des cas sont liés à de l’espionnage industriel ! ”
Source : Sûreté de l’Etat (c...
La	
  sécurité	
  ?
faut-­‐il	
  être	
  parano	
  pour	
  autant	
  ?

véridique !

Van Eck phreaking

non	
  ...	
  mais...
La	
  sécurité	
  ?
Patriot Act

connaissez-­‐vous	
  
ceci	
  ?
Et ses implications ... ?!
Pa
tr
io

t

A

ct

La	
  sécurité	
  ?
IT

Disponibilité
Confidentialité
Intégrité
Force probante

Hardware
Software
Humain
Environnement

(c) Pierre-Olivier Bour...
Encore faut-il savoir ce que l’on a à protéger ...

Sécurité Informatique

Disponibilité
Confidentialité
Intégrité
Force pr...
S’assurer	
  que	
  tout	
  changement	
  du	
  système	
  ne	
  reme4e	
  pas	
  en	
  
cause	
  les	
  mesures	
  de	
  ...
Effective cyber security is less dependent
on technology than you think
(KPMG.nl)

Sécurité Informatique
maillon le plus
f...
Sécurité IT
• Où / quels sont les risques ?
Vulnerability = leaving your car unlocked
peu importe

Exposure = thief identi...
Sécurité IT
• Où / quels sont les risques ?
peu importe

Décider :
1) ce qu’il y a à protéger
2) de quoi ?
3) comment ?
Mo...
Types	
  de	
  risques
Bâtiment, bureaux, armoires,
câbles, ...

port USB : vol de données ?
(juice jacking)

BYOD = BYOD
Sécurité physique :

Chiffrement (“cryptage”)

• depuis l’antiquité
• “masque jetable”
★

(sécurité inconditionnelle = thé...
Sécurité physique :

Chiffrement (“cryptage”)

• Mac OS X : File Vault 2
• Toutes plateformes : TrueCrypt
www.truecrypt.or...
Sécurité physique :

Chiffrement (“cryptage”)

• PCs/Macs : TrueCrypt / FileVault
• emails : TrueCrypt / OpenPGP / SSL
• p...
Sécurité physique :
Effacement sécurisé

• Mac OS X : intégré OS (cmd+empty trash)
• Linux : srm, Wipe, etc.
• Windows : u...
Sécurité
physique :
Effacement
sécurisé ?
Types	
  de	
  risques
Bâtiment, bureaux, armoires,
câbles, ...
Types	
  de	
  risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
(hardware, software)

• Connexions entran...
Types	
  de	
  risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav,
VirusBarrier,...
Types	
  de	
  risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, ...
Types	
  de	
  risques
Bâtiment, bureaux, armoires, ...
Parefeux & routeurs, ...
Norton anti-virus, ClamXav, ...
Windows, ...
Vous = humain
• Sensibilisation / éducation
★

dangers / risques

★

mots de passe

★

comportement
✦

! pas uniquement IT...
Humain
• Sensibilisation / éducation
★

dangers / risques

★

mots de passe

★

comportement
✦

Sensibilisations

! pas un...
Humain
• Sensibilisation / éducation

Sensibilisations

★

dangers / risques

•
•

★

mots de passe

•

★

comportement
✦
...
Humain
• Sensibilisation / éducation
★

dangers / risques

★

mots de passe

★

comportement
✦

! pas uniquement IT

Sensi...
Confidentialité

Mots de passe

Complexité / Changement régulier
Plusieurs !
idéalement un et un seul pour chaque usage
un ...
Comment	
  mémoriser	
  ?
Comment mémoriser de manière sécurisée ?

1) fichier ou partition cryptés
règle : avoir un bon mo...
Types	
  d’aCaques	
  sur	
  
les	
  mots	
  de	
  passe
Attaques : où est le problème ?

1) problème n’est pas tellement ...
Stockage	
  mots	
  de	
  
passe
Hash

hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512,
RIPEMD, Whirpool, etc.
(c) ...
1) par force brute

Types	
  d’aCaques	
  sur	
  
les	
  mots	
  de	
  passe

teste toutes les combinaisons
[exemple : HpA...
ACaques	
  (force	
  brute)
Mots de passe (exemples) :

Temps maximum pour
casser (en force brute)

4031
carre

instantané...
News	
  NSA	
  ?
La	
  NSA	
  peut	
  décoder	
  tout	
  type	
  de	
  communica9on	
  chiffrée	
  ?
Quelques	
  chiffres	
 ...
Types	
  d’aCaques
5) par séquence au clavier

teste des suites logiques au clavier
[exemple : azerty, azeswxc, vgyrgb, .....
Types	
  d’aCaques
9) par ... etc.
attaques par
tables arc-en-ciels,
“temporelle”,
analyse statistiques,
surchiffrement,
m...
En conclusion
• Sécurité

The security policy should primarily be
determined by your goals, not those of
your attackers
(K...
Annexes
• Comment trouver un bon mot de passe
★

aléatoire pur (longueur, min, MAJ, ^`, ($@, ...)

★

mnémotechnique (pseu...
Types	
  de	
  mots	
  de	
  
passe

Types

1) aléatoire brut

la meilleure combinaison
exemple : HpAhTbd6nWx6cCDK, ou mie...
Types	
  de	
  mots	
  de	
  
passe

Types

3) coller quelques mots + fautes, substitutions
exemple : maîtreachatqualitépr...
Types

Types	
  de	
  mots	
  de	
  
passe
5) clef cryptographique commune
exemple : U1CA:evd2! => GMail : GU1CA:evd2!M
=>...
Upcoming SlideShare
Loading in...5
×

La sécurité informatique pour une petite équipe

426

Published on

par Pierre-Olivier Bourge, 17 décembre 2013

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
426
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
26
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

La sécurité informatique pour une petite équipe

  1. 1. Geeks Anonymes LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013
  2. 2. Geeks Anonymes LA “SÉCURITÉ INFORMATIQUE” POUR UNE PETITE ÉQUIPE « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » (http://www.clusif.asso.fr) Pierre-Olivier Bourge 17 décembre 2013 (c) Pierre-Olivier Bourge 2013
  3. 3. Responsable IT dans une petite structure ... ? “développeur” admin réseau scripts réseau parc machines responsable sécurité IT Geek needed ? analyse de risques e nc na te ain m users et” s pc, mac, linux me proj ce ti e d sour helpdesk OSes ef res “ch brancher les PCs ... admin système et que sais-je encore ... (c) Pierre-Olivier Bourge 2013
  4. 4. La  sécurité  ? pour  les  autres  ? Angela Merkel, Di Rupo, Belgacom, OVH, ULg, ...
  5. 5. La  sécurité   informa3que  ? “ 60 % des cas sont liés à de l’espionnage industriel ! ” Source : Sûreté de l’Etat (civil) & SGRS (militaire) - Assises de l’IS (LlN - 15/11/2013) Brochure : http://assises-intelligence-strategique.cible.be/images/document/ais-2013/brochure-Patrick-Leroy.pdf 100% security is neither feasible nor the appropriate goal (Source : KPMG.nl) Cyber security will never be “solved” but will be “managed” (Source : Ravi Sandhu - UTSA Institute for Cyber Security) (c) Pierre-Olivier Bourge 2013
  6. 6. La  sécurité  ? faut-­‐il  être  parano  pour  autant  ? véridique ! Van Eck phreaking non  ...  mais  ne  soyez  pas  naïf  !
  7. 7. La  sécurité  ? Patriot Act connaissez-­‐vous   ceci  ? Et ses implications ... ?!
  8. 8. Pa tr io t A ct La  sécurité  ?
  9. 9. IT Disponibilité Confidentialité Intégrité Force probante Hardware Software Humain Environnement (c) Pierre-Olivier Bourge 2013
  10. 10. Encore faut-il savoir ce que l’on a à protéger ... Sécurité Informatique Disponibilité Confidentialité Intégrité Force probante Control,  monitor,   and  log  all  access  to   protected  assets Hardware Software Humain Environnement 99% of the attacks are thwarted by basic hygiene and some luck 1% of the attacks are difficult and expensive to defend or detect (c) Pierre-Olivier Bourge 2013
  11. 11. S’assurer  que  tout  changement  du  système  ne  reme4e  pas  en   cause  les  mesures  de  sécurité  établies  pour  protéger  le  patrimoine Sécurité Informatique Hardware Software Humain Environnement Disponibilité Confidentialité Intégrité Force probante Patriot Act Cloud Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? (c) Pierre-Olivier Bourge 2013
  12. 12. Effective cyber security is less dependent on technology than you think (KPMG.nl) Sécurité Informatique maillon le plus faible ! Hardware Software Humain Environnement Disponibilité Confidentialité Intégrité Force probante Hardware : budget ? Software : budget ? Humain : ressources & aware ? Environnement : menaces, risques ? (c) Pierre-Olivier Bourge 2013
  13. 13. Sécurité IT • Où / quels sont les risques ? Vulnerability = leaving your car unlocked peu importe Exposure = thief identifies this and opens the door. Risk factor will increase if either factor is changed (e.g.. you left your car door unlocked, with the keys inside, or you leave your car unattended in a public parking lot vs. your home garage.) Types  de  risques Risk = Vulnerability * Exposure - Security
  14. 14. Sécurité IT • Où / quels sont les risques ? peu importe Décider : 1) ce qu’il y a à protéger 2) de quoi ? 3) comment ? Mode : sécurité par défaut Types  de  risques Risk = Vulnerability * Exposure - Security
  15. 15. Types  de  risques Bâtiment, bureaux, armoires, câbles, ... port USB : vol de données ? (juice jacking) BYOD = BYOD
  16. 16. Sécurité physique : Chiffrement (“cryptage”) • depuis l’antiquité • “masque jetable” ★ (sécurité inconditionnelle = théoriquement incassable) combiné à MQ • symétrique / asymétrique ★ DES, Triple DES, AES, ... (symétrique), RSA, ... (asymétrique) • problème : ★ générer clef réellement aléatoire (S/N) [phénomènes physiques] ★ transmettre la clef [valises diplomatiques] (c) Pierre-Olivier Bourge 2013
  17. 17. Sécurité physique : Chiffrement (“cryptage”) • Mac OS X : File Vault 2 • Toutes plateformes : TrueCrypt www.truecrypt.org HD ou contenant ... • Windows : No, No, No ! • Attention à la gestion de la clef ! Types  de  risques  :  “physique”  ... (c) Pierre-Olivier Bourge 2013
  18. 18. Sécurité physique : Chiffrement (“cryptage”) • PCs/Macs : TrueCrypt / FileVault • emails : TrueCrypt / OpenPGP / SSL • protocoles sécurisés : https / ssh Types  de  risques  :  “écoute”  ... (c) Pierre-Olivier Bourge 2013
  19. 19. Sécurité physique : Effacement sécurisé • Mac OS X : intégré OS (cmd+empty trash) • Linux : srm, Wipe, etc. • Windows : utilitaires Cf. Eraser, CCleaner, SDelete, Piriform, etc. Types  de  risques  :  “après”  ... (c) Pierre-Olivier Bourge 2013
  20. 20. Sécurité physique : Effacement sécurisé ?
  21. 21. Types  de  risques Bâtiment, bureaux, armoires, câbles, ...
  22. 22. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... (hardware, software) • Connexions entrantes s + sortantes, • plusieurs routeurs / parefeux en série (différentes configurations) • plusieurs réseaux (services) “déconnectés” (compartmentalization, Cf. SCADA) • connexion externe : “min” • DMZ, IDS, etc.
  23. 23. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, VirusBarrier, Sophos, Avira, McAfee, Avast!, ... A5en6on  !  On  ne  joue  pas  !
  24. 24. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... access rights (users & machines), security logs, ... • No root ! • user is not admin • “least privilege” • BYOD = services, ports, accès, ... : à fermer • serveurs virtuels • Security Onion
  25. 25. Types  de  risques Bâtiment, bureaux, armoires, ... Parefeux & routeurs, ... Norton anti-virus, ClamXav, ... Windows, Mac OS, ... Vous ! humain = le plus difficile car le plus imprévisible
  26. 26. Vous = humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT e.g. : 5 lettres ou 2 mots du dictionnaire accolés
  27. 27. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ Sensibilisations ! pas uniquement IT (c) Pierre-Olivier Bourge 2013
  28. 28. Humain • Sensibilisation / éducation Sensibilisations ★ dangers / risques • • ★ mots de passe • ★ comportement ✦ ! pas uniquement IT • informations sensibles apprendre à identifier les risques communs que faire ? comment gérer les informations sensibles ? changement de comportement (c) Pierre-Olivier Bourge 2013
  29. 29. Humain • Sensibilisation / éducation ★ dangers / risques ★ mots de passe ★ comportement ✦ ! pas uniquement IT Sensibilisations • • • • • “a password is the first gateway to security breaches” types d’attaques communes comment générer un bon mot de passe comment retenir ses mots de passe ? le BYOD = BYOD (c) Pierre-Olivier Bourge 2013
  30. 30. Confidentialité Mots de passe Complexité / Changement régulier Plusieurs ! idéalement un et un seul pour chaque usage un mot de passe hacké est une faille ! ... et s’il donne accès à tout ... Non accessible par ailleurs !
  31. 31. Comment  mémoriser  ? Comment mémoriser de manière sécurisée ? 1) fichier ou partition cryptés règle : avoir un bon mot de passe principal avoir une bonne encryption du fichier ou de la partition le fichier ou la partition contiennent en clair tous les autres mots de passe 2) outil Norton (ou Keychain Access sur Mac) (c) Pierre-Olivier Bourge 2013
  32. 32. Types  d’aCaques  sur   les  mots  de  passe Attaques : où est le problème ? 1) problème n’est pas tellement à l’identification lors d’une connexion si • protocole : sécurisé • parefeu et services : bien configurés => bloqué 2) problème est plutôt : • hacker : faille, accès aux clefs/mots de passe sécurisés ? • combien de temps pour les casser ? Petite leçon sur le stockage (hachage) des mots de passe dans les ordinateurs (c) Pierre-Olivier Bourge 2013
  33. 33. Stockage  mots  de   passe Hash hash : md4, md5, sha-1, sha-2, sha-3, sha-256, sha-512, RIPEMD, Whirpool, etc. (c) Pierre-Olivier Bourge 2013
  34. 34. 1) par force brute Types  d’aCaques  sur   les  mots  de  passe teste toutes les combinaisons [exemple : HpAhTbd6nWx6cCDK] parade : augmenter la longueur du mot de passe (> 8 !) 2) par dictionnaire teste les noms communs ou propres, ou les mots de passe les plus courants [exemple : password, qwerty, monkey, dragon, iloveyou, Nicole, Daniel, ...] parade : éviter les noms communs ou propres, les mots avec un sens courant 3) par substitution ou insertion teste des noms substitués ou insérés [exemple : passwyrd, N1cole, D*niel, ..., wyord, Niacole, ...] parade : éviter les substitutions et les insertions à partir de noms ou de mots courants 4) par séquence ou inversion de séquences teste par les séries de chiffres, de caractères [exemple : 123456, abc123, drow (word), ...] parade : à éviter absolument (c) Pierre-Olivier Bourge 2013
  35. 35. ACaques  (force  brute) Mots de passe (exemples) : Temps maximum pour casser (en force brute) 4031 carre instantané ! 1/100ème seconde ! Picarré 3 minutes hzs!Y%2v 6 heures 8 caractères aléatoires (Windows XP) en 6 heures pour un hacker ! Constante évolution : Hz , CPU => GPU et c’est même pire ... : e.g. tables arc-en-ciel, etc. (c) Pierre-Olivier Bourge 2013
  36. 36. News  NSA  ? La  NSA  peut  décoder  tout  type  de  communica9on  chiffrée  ? Quelques  chiffres  de  puissance  de  calcul  à  l’heure  actuelle  ... CPUs GFlops X 8 alea (Windows) Lenovo 2-Core 1 20 d Mac 4-Core 7 2 10 d Top 1-GPU Hash 3 8 3 160 h 175 60 8h 600.000 200.000 9s BOINC 10.000.000 3.300.000 0,5 s Tianhe-2 35.000.000 11.000.000 0,1 s Hacker 25-GPU SETI GFlops days / hours / seconds (c) Pierre-Olivier Bourge 2013
  37. 37. Types  d’aCaques 5) par séquence au clavier teste des suites logiques au clavier [exemple : azerty, azeswxc, vgyrgb, ...] parade : éviter les substitutions à partir de noms 6) par répétition teste les répétitions [exemple : HpAhTbd6nHpAhTbd6n (= HpAhTbd6n)] parade : à éviter (n’apporte rien, augmente le signal dans l’encryption) 7) par ruse vous ammène à communiquer vous-même votre mot de passe ou à aider à deviner votre mot de passe [exemple : phishing (hameçonnage), attaque “sociale”, ...] parade : vérifier votre connexion à un site sécurisé, ne jamais communiquer vos données sensibles par email, SMS, chat, téléphone, ... 8) par virus un virus, ver, cheval de troie, etc. ouvre une faille dans le système [exemple : un fichier corrompu, un programme piraté, keylogger, etc.] parade : mettre à jour votre anti-virus (fait le reste) éviter comportements à risque (téléchargements, phishing, etc.) (c) Pierre-Olivier Bourge 2013
  38. 38. Types  d’aCaques 9) par ... etc. attaques par tables arc-en-ciels, “temporelle”, analyse statistiques, surchiffrement, man-in-the-middle, etc. parade : the ability to learn is just as important as the ability to monitor (KPMG.nl) (c) Pierre-Olivier Bourge 2013
  39. 39. En conclusion • Sécurité The security policy should primarily be determined by your goals, not those of your attackers (KPMG.nl) ★ affaire de tous & pas que IT ★ technique + moi + les autres ★ humain : sensibilisation & éducation ★ vigilance, veille constante ★ évaluer les risques ★ pas parano ... mais pas naïf ... (c) Pierre-Olivier Bourge 2013
  40. 40. Annexes • Comment trouver un bon mot de passe ★ aléatoire pur (longueur, min, MAJ, ^`, ($@, ...) ★ mnémotechnique (pseudo-aléatoire) ★ ★ générateurs aléatoires (vrai = source de bruit) : random.org générateurs pseudo-aléatoires (algorithmes) (c) Pierre-Olivier Bourge 2013
  41. 41. Types  de  mots  de   passe Types 1) aléatoire brut la meilleure combinaison exemple : HpAhTbd6nWx6cCDK, ou mieux Xhé6kndz!b5( règle : minuscules, majuscules, chiffres, ponctuations, caractères accentués 2) phrase mnémotechnique pas loin de l’aléatoire brut lorsque suffisamment longue exemple : Une de nos valeurs est la proximité => Udnvelp => 1Udn.vélp => 1Udb.vélp (longueur > 8 OK) règle : initiales des mots, insérer chiffres, ponctuations, etc. (c) Pierre-Olivier Bourge 2013
  42. 42. Types  de  mots  de   passe Types 3) coller quelques mots + fautes, substitutions exemple : maîtreachatqualitéprix => MaitrAchat=KalitePri NOK ! Attaque par dictionnaire et substitution 4) style SMS trop variable : si très condensé OK si phrase longue mais sinon ... ? Bof ! Attaque par dictionnaire et substitution (c) Pierre-Olivier Bourge 2013
  43. 43. Types Types  de  mots  de   passe 5) clef cryptographique commune exemple : U1CA:evd2! => GMail : GU1CA:evd2!M => Banque : BU1CA:evd2!a OK à Bof ! Force brute puis décode tout facilement ... Nécessite une clef commune très costaude (méthode 1 ou 2, longueur > 8) 6) se méfier des sites non professionnels exemple : le site références Seules 2 des 7 méthodes sont à envisager : pouvez-vous deviner lesquelles ? (c) Pierre-Olivier Bourge 2013
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×