Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Copyright © 2018 Canadian Internet Registration Authority (“CIRA”). All rights reserved. This material is proprietary to C...
2
3
.CA Services de cybersécurité
Leadership
Internet mondial
Initiatives
canadiennes
Initiatives
communautaires
2,8 million...
4
En tant que membre du RISQ,
vous disposez de toute la
vitesse qu’il faut pour votre
trafic sur le réseau de
recherche. M...
Connaissez-vous bien l’internet ?
5
6
Le transit internet – l’envoi d’un paquet est
gratuit et peut se rendre partout.
Votre FSI
(RISQ et
autres)
Votre
réseau
7
Pour pouvoir recevoir un paquet, vous devez
annoncer vos routes : votre FSI & le RISQ s’en occupe.
Votre FSI
(RISQ et
au...
8
Où a lieu l’échange de trafic ?
Avec qui ?
Quels mécanismes de sécurité
assurent l’intégrité de votre DNS
Par où votre t...
9
3 menaces à
surveiller
1. Attaques par DDoS
2. Détournement de trafic
3. Logiciels malveillants
1. Attaques par DDoS
10
Les attaques par DDoS sont de plus en plus intelligentes
(semblables à du vrai trafic) et le scrub...
1111
12
Serez-vous résilient si la
frontière É.-U. « ferme » à
cause d’une cyberattaque?
Vos données sont souvent échangées aux É.-U.
13
Confidentialité
14
69 % des Canadiens
s’inquiètent de la sécurité ou
de la confidentialité de leurs
renseignements personn...
15
2. Détournement
de trafic
150 000 $ volés à des
usagers de MyEtherWallet
dans un détournement de
serveur DNS
16
17
Les mauvais joueurs planifient mieux leurs attaques.
Ils recherchent les faiblesses dans le routage BGP pour trouver
le...
Attaques BGP
18
• Attaques de sous-préfixes (publicité / 24 sur a / 23)
– Pas furtif, impact global
• Attaque avec préfixe...
La prochaine fois:
19
• Annoncé le /24 sur /23 de
Route 53 (AWS DNS)
• Réplique de Route 53
DNS servers avec fausse
donnée...
Que pouvez-vous faire pour
contrer ces 2 menaces ?
20
Control your traffic.
21
Comment ? Connectez-vous
directement à vos clients.
Au moyen d’un Internet
canadien résilient.
Vo...
L’ACEI contrôle la livraison de notre trafic de
service infonuagique directement vers le réseau
canadien des FSI.
Nous nou...
23
Services
infonuagiques
Clients
DDoS
Détournement de
trafic
Fournisseurs, gouvernements, banques
Prestations de
services
24
Services
infonuagiques
Prestations
de services
Clients
Fournisseurs, gouvernements, banques
PEI
Rapprocher le contenue ...
25
• Les services infonuagiques
appairés présentent plus
d’avantages de performance et de
sécurité
• Tout déploiement SD-W...
DNSSEC DANE peux aider, faut l’adopter!
26
Le TLSA prouve que le certificat SSL appartiens au nom de domaine.
TLSA pour:
•...
Autre méthodes de mitigation
27
• Surveillance externe des services (DNS, HTTPS) avec
DANE TLSA
• Surveillances BGP (BGPMO...
3. Logiciels
malveillants
28
La création et la
distribution de logiciels
malveillants continuent de
croître. Les cybervole...
29
30
31
Pare-feu DNS D-Zone
32
DNS propre – L’objectif de ce service est d’obtenir un déploiement dans tous les
IXP canadiens afin...
Programme d’écoles
cybersécurisées de
l’ACEI
33
• Plus de 600 000 étudiants
canadiens
• Plus de 70 commissions
scolaires e...
Des questions ?
34
Upcoming SlideShare
Loading in …5
×

Votre meilleure protection est un internet canadien

45 views

Published on

RISQ - Colloque 2018
14h20
Jacques Latour

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Votre meilleure protection est un internet canadien

  1. 1. Copyright © 2018 Canadian Internet Registration Authority (“CIRA”). All rights reserved. This material is proprietary to CIRA, and may not be reproduced in whole or in part, in either electronic or printed formats, without the prior written authorization of CIRA. Contrôlez/Protégez votre trafic L’Internet canadien : votre meilleure protection Présenté par Jacques Latour, directeur technologie et sécurité, ACEI
  2. 2. 2
  3. 3. 3 .CA Services de cybersécurité Leadership Internet mondial Initiatives canadiennes Initiatives communautaires 2,8 millions de domaines .CA, temps utilisable à 100 % 100 000 nouvelles menaces de cybersécurité bloquées chaque jour par le Pare-feu D-Zone Service de registres Produits et services fiables pour domaines de premier niveau Bâtissons un meilleur Canada en ligne Nos membres
  4. 4. 4 En tant que membre du RISQ, vous disposez de toute la vitesse qu’il faut pour votre trafic sur le réseau de recherche. Mais en dehors du RISQ… L’infrastructure de l’Internet évolue rapidement.
  5. 5. Connaissez-vous bien l’internet ? 5
  6. 6. 6 Le transit internet – l’envoi d’un paquet est gratuit et peut se rendre partout. Votre FSI (RISQ et autres) Votre réseau
  7. 7. 7 Pour pouvoir recevoir un paquet, vous devez annoncer vos routes : votre FSI & le RISQ s’en occupe. Votre FSI (RISQ et autres) Votre réseau ICI Votre réseau Votre réseau ICI Votre réseau ICI Votre réseau ICI
  8. 8. 8 Où a lieu l’échange de trafic ? Avec qui ? Quels mécanismes de sécurité assurent l’intégrité de votre DNS Par où votre trafic passe-t-il ? Qui contrôle le routage sur l’Internet ? Quels mécanismes de sécurité assurent l’intégrité de votre trafic Internet ? Comment assurer le cryptage et la confidentialité de bout en bout ?
  9. 9. 9 3 menaces à surveiller 1. Attaques par DDoS 2. Détournement de trafic 3. Logiciels malveillants
  10. 10. 1. Attaques par DDoS 10 Les attaques par DDoS sont de plus en plus intelligentes (semblables à du vrai trafic) et le scrubbing est plus difficile à faire Les attaques par DDoS deviennent plus importantes, à 2 Tbs, 10 Tbs, 100 Tbs? Ajout de plus en plus d’appareils sur l’Internet des objets Votre réseau
  11. 11. 1111
  12. 12. 12 Serez-vous résilient si la frontière É.-U. « ferme » à cause d’une cyberattaque?
  13. 13. Vos données sont souvent échangées aux É.-U. 13
  14. 14. Confidentialité 14 69 % des Canadiens s’inquiètent de la sécurité ou de la confidentialité de leurs renseignements personnels si ces derniers transitent ou sont conservés aux É.-U.
  15. 15. 15 2. Détournement de trafic 150 000 $ volés à des usagers de MyEtherWallet dans un détournement de serveur DNS
  16. 16. 16
  17. 17. 17 Les mauvais joueurs planifient mieux leurs attaques. Ils recherchent les faiblesses dans le routage BGP pour trouver le meilleur « train » à attaquer.
  18. 18. Attaques BGP 18 • Attaques de sous-préfixes (publicité / 24 sur a / 23) – Pas furtif, impact global • Attaque avec préfixe local spécifique égal / 23 sur un local / 23 – Plus furtif, impact local, plus de planification requise • Empoisonnement AS Path – Interception de trafic, furtive, annoncer / 24 sur a / 23, et retour par la / 23 • Utilisation multiple: – Processus de signature d’autorité de certification - validation - Let’s encrypt, GoDaddy, Comodo, Symantec, GlobalSign... – Detournement de serveurs DNS et SMTP et autres
  19. 19. La prochaine fois: 19 • Annoncé le /24 sur /23 de Route 53 (AWS DNS) • Réplique de Route 53 DNS servers avec fausse données pour myetherwallet pointant en Russie • Server WEB répliquant les vrais (sans HTTPS) • Vol d’identifiants de compte • USD $150,000
  20. 20. Que pouvez-vous faire pour contrer ces 2 menaces ? 20
  21. 21. Control your traffic. 21 Comment ? Connectez-vous directement à vos clients. Au moyen d’un Internet canadien résilient. Voyons comment l’ACEI s’en charge.
  22. 22. L’ACEI contrôle la livraison de notre trafic de service infonuagique directement vers le réseau canadien des FSI. Nous nous connectons aux réseaux de recherche et aux FSI canadiens et effectuons un appairage direct pour maximiser la performance et la résilience. 22Appairage = Peering
  23. 23. 23 Services infonuagiques Clients DDoS Détournement de trafic Fournisseurs, gouvernements, banques Prestations de services
  24. 24. 24 Services infonuagiques Prestations de services Clients Fournisseurs, gouvernements, banques PEI Rapprocher le contenue le plus près des usagers
  25. 25. 25 • Les services infonuagiques appairés présentent plus d’avantages de performance et de sécurité • Tout déploiement SD-WAN utilisant d’autres fournisseurs devrait penser à ses relations d’appairage • Faites passer le mot ! L’appairage, c’est maintenant ! L’appairage : un avantage clé de votre adhésion au RISQ.
  26. 26. DNSSEC DANE peux aider, faut l’adopter! 26 Le TLSA prouve que le certificat SSL appartiens au nom de domaine. TLSA pour: • Web (HTTPS) • Email (SMTP) • IM (XMPP over TLS) • OPENPGPKEY et SMIMEA par usagé • et autre
  27. 27. Autre méthodes de mitigation 27 • Surveillance externe des services (DNS, HTTPS) avec DANE TLSA • Surveillances BGP (BGPMON, ThousandEyes) • Entrée DNS CAA • Entrée DNS DANE TLSA • BGPsec, RPKI, filtrage de routes • ISOC MANRS (https://www.internetsociety.org/issues/manrs/)
  28. 28. 3. Logiciels malveillants 28 La création et la distribution de logiciels malveillants continuent de croître. Les cybervoleurs utilisent des techniques d’infiltration manuelles et automatisées. Source : av-test.org
  29. 29. 29
  30. 30. 30
  31. 31. 31
  32. 32. Pare-feu DNS D-Zone 32 DNS propre – L’objectif de ce service est d’obtenir un déploiement dans tous les IXP canadiens afin de servir tous les Canadiens.
  33. 33. Programme d’écoles cybersécurisées de l’ACEI 33 • Plus de 600 000 étudiants canadiens • Plus de 70 commissions scolaires et établissements d’études supérieures • Nouveau déploiement de la maternelle à la 12e année dans toute la province (SaskEd)
  34. 34. Des questions ? 34

×