Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cours CyberSécurité - Infrastructures Critiques

1,821 views

Published on

Cours CyberSécurité - Université Versailles St Quentin - Infrastructures Critiques et vitales - Avril 2013

Published in: Education

Cours CyberSécurité - Infrastructures Critiques

  1. 1. Avril 2013Franck Franchin1
  2. 2. Master Droit - Franck Franchin - © 2013 Les systèmes ou les actifs essentiels au niveau d’unpays pour assurer le fonctionnement de la société etde l’économie :◦ Réseaux de production et de distribution de l’énergie◦ Réseaux de production et de distribution de l’eau◦ Réseaux de transports des biens et des personnes◦ Réseaux de télécommunications◦ Production et distribution de la nourriture◦ Santé publique◦ Services financiers◦ Sécurité de l’Etat, des biens et des citoyens Une définition plus limitée restreint l’expression auxbesoins vitaux d’un pays
  3. 3. Master Droit - Franck Franchin - © 2013 L’Union Européenne a défini en 2006, puis 2009◦ EPCIP - European Programme for Critical InfrastructureProtection◦ Chaque infrastructure critique identifiée doit disposerd’un OSP (Operator Security Plan) : identification desactifs, analyse de risques et de vulnérabilités,procédures et mesures de protection◦ ENISA Les USA ont commencé à mettre en place unedoctrine en 1996 (programme CIP), étendue en2001 dans le ‘Patriot Act’
  4. 4. Master Droit - Franck Franchin - © 2013 Militaire :◦ ‘Pearl Harbor électronique’◦ Atteinte aux intérêts vitaux de l’Etat◦ Cyberterrorisme Industrie :◦ Vol de propriété intellectuelle◦ Perte d’exploitation◦ Cybercriminalité
  5. 5. Master Droit - Franck Franchin - © 20135
  6. 6. Master Droit - Franck Franchin - © 2013 Première version active probablement depuis Juin 2009 Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez un deses clients iraniens W32.Stuxnet - 2 serveurs C&C situés en Malaisie Propagation via USB (clé) Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS) MAJ possible sans C&C via un P2P (RPC) Cible : Siemens SIMATIC Series 7 PLC/WinCC Infection différente selon la cible (PLCs) Entre 20’000 et 50’000 PCs contaminé, selon Symantec, plus de 100’000selon Kaspersky 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan Payload complexe : vol de données, compromission, sabotage Des sites de support ont été victimes de DoS (Ping Flood) depuis la Chine
  7. 7. Master Droit - Franck Franchin - © 2013Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 msLa cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de NatanzFamille de PLC concernés :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPUPourtant, l’Iran ne devrait pas disposerde technologies Siemens Scada(sanctions ONU) ?
  8. 8. Master Droit - Franck Franchin - © 2013 Quelques chiffres :◦ Développement évalué à 10 hommes.ans◦ Entre 6 et 8 personnes/teams différents◦ Un développement étalé sur plusieurs années (différentes versions d’outilsde développement)◦ Une faille zéro-day peut se négocier à $200’000 (il y en avait 4) Les moyens :◦ Les certificats ont été volés à deux sociétés sur le même site physique enChine - Le vol ‘logique’ à la Zeus est donc statistiquement peu probable et levol ‘physique’ par intrusion ou compromission est à privilégier◦ Les clés USB ont probablement été introduites en Iran via le sous-traitantrusse ou via des opérationnels compromis. Plusieurs versions semblentavoir été introduites sucessivement Les fantasmes :◦ Stuxnet contient dans son code le mot ‘Myrtus’ qui fait référence au Livred’Esther de l’Ancien Testament, reine perse qui a sauvé son peuple del’extermination
  9. 9. Master Droit - Franck Franchin - © 2013 Découvert en Mai 2012 Charge virale importante : 20 Mo Inclus un serveur SQLite et une machine virtuelle Lua Interception d’emails, de fichiers, enregistrement deconversations en ligne Serait antérieur à Stuxnet ! Coût évalué à $100M par Kaspersky Labs, 5 ans dedéveloppement Cible : Iran Objectif : collecte de données pré-Stuxnet9
  10. 10. Master Droit - Franck Franchin - © 2013 Découvert en Juin 2012 Il aurait commencé à infecter les ordinateurs enSeptembre 2011 Kit Cheval de Troie destiné à espionner les échanges dedonnées bancaires Se déclenche sur des mots clés comme :paypal, mastercard, eurocard,visa, americanexpress, bankofbeirut, creditlibanais, amazon, facebook, gmail, hotmail, ebay mais passur Audi Bank qui est un poids lourd local Cible : banques libanaises principalement Utilise la même vulnérabilité ‘clé USB’ que Stuxnet etFlame10
  11. 11. Master Droit - Franck Franchin - © 2013 Aucun autre malware n’a jamais intégré ce type demécanisme Payload étrange : une partie du code reste non déchiffrécar la clé de déchiffrement serait lié à une configurationparticulière… Même famille : Duqu, Stuxnet, Flame, Gauss11

×