Université Paris XIII – Master 2

 

 

Introduction à la cybersécurité

Université Paris XIII – Master 2

iro@cryptosec.org | @secucrypt

2018

Version 3

Sous licence Creative Commons – BY – NC –SA

Contenu

I. Une attaque réelle………………………………………………………………………………….. 4

II. La sécurité et les risques………………………………………………………………………… 7

III. Équilibre entre la sécurité et les usages………………………………………………….12

IV. Paysage des menaces…………………………………………………………………………. 13

V. Défense périmétrique…………………………………………………………………………… 18

Filtrage réseau………………………………………………………………………………….. 19

Filtrage des courriels………………………………………………………………………….. 25

Filtrage des accès web……………………………………………………………………….. 26

VI. Défense en profondeur………………………………………………………………………… 29

Cloisonnement interne……………………………………………………………………….. 30

Antivirus…………………………………………………………………………………………… 31

HIPS…………………………………………………………………………………………………. 34

VPM (Vulnerability and Patch Management)…………………………………………..35

Durcissement (hardening)…………………………………………………………………… 37

NAC…………………………………………………………………………………………………. 38

Chifrement des données (stocéées)……………………………………………………..39

Virtual Private Networé (VPN)………………………………………………………………41

Sécurisation de flux : TLS, IPSEC…………………………………………………………..42

VII. Politique de sécurité…………………………………………………………………………… 45

VIII. Sensibilisation à la sécurité…………………………………………………………………47

IX. Sécurité des accès………………………………………………………………………………. 48

Méthodes d’authentifcation cliente………………………………………………………51

Mots de passe…………………………………………………………………………………… 58

X. Détection……………………………………………………………………………………………. 62

Traces, détections, contrôles, alertes…………………………………………………….62

Scanners………………………………………………………………………………………….. 64

Tests de sécurité……………………………………………………………………………….. 65

XI. Réaction……………………………………………………………………………………………. 71

Gestion des incidents de sécurité…………………………………………………………71

Gestion de crise………………………………………………………………………………… 74

XII. Éthique et légalité……………………………………………………………………………… 76

Légalité……………………………………………………………………………………………. 76

Éthique…………………………………………………………………………………………….. 77

cryptosec.org

Licence CC – BY – NC – SA

2

XIII. Sécurité des applications……………………………………………………………………. 79

Top 10 de l’OWASP…………………………………………………………………………….. 80

N’en restez pas au Top 10…………………………………………………………………… 86

XIV. Récapitulatif : les grands principes de la sécurité…………………………………..89

Les principes généraux importants et transverses sont encadrés tout au long du

cours, et récapitulés en conclusion

Les bases de la cryptographie ayant été vues, ce cours ne comporte pas de

chapitre dédié à ces techniques. En cas de besoin de quelques rappels :

http://cryptosec.org/?Introduction-to-Cryptography

https://marumari.github.io/crypto-presentation/#/1

L’ensemble de ce document est sous licence Creative Commons
« Attribution – Pas d’Utilisation Commerciale – Partage dans les Mêmes
Conditions » (CC BY-NC-SA 2.0 FR)

Cette licence autorise à partager (copier, distribuer et communiquer le matériel
par tous moyens et sous tous formats) et adapter (remixer, transformer et créer
à partir du matériel) tant que les conditions suivantes sont respectées :
attribution (vous devez créditer l’auteur initial, intégrer un lien vers la licence et
indiquer si des modifcations ont été efectuées. Vous devez indiquer ces
informations par tous les moyens raisonnables, sans toutefois suggérer que
l’auteur initial vous soutient ou soutient la façon dont vous avez utilisé le présent
document), pas d’utilisation commerciale (vous n’êtes pas autorisé à faire un
usage commercial de ce document, tout ou partie du matériel le composant),
partage dans les mêmes conditions (dans le cas où vous efectuez un remix,
que vous transformez, ou créez à partir du matériel composant le document
original, vous devez difuser le document modifé dans les même conditions,
c’est-à-dire avec la même licence avec laquelle le document original a été
difusé), pas de restrictions complémentaires (vous n’êtes pas autorisé à
appliquer des conditions légales ou des mesures techniques qui restreindraient
légalement autrui à utiliser le document dans les conditions décrites par la
licence).

Ce qui précède est un résumé (et non pas un substitut) de la licence :
https://creativecommons.org/licenses/by-nc-sa/2.0/fr/legalcode

cryptosec.org

Licence CC – BY – NC – SA

3

I. Une attaque réelle

Target, une grande chaine de supermarchés étasunienne – Décembre 2013

Vol de 40 millions de numéros de carte de crédit et des données personnelles de

70 millions de personnes.

Dommages estimés : plus de 150 millions de dollars (mais les estimations de

pertes fnancières sont toujours sujettes à caution).

Que s’est-il passé ?

cryptosec.org

Licence CC – BY – NC – SA

4

Toutes les informations ne sont pas certaines. Mais l’essentiel a dû se passer à

peu près comme ça :

1.

Installation d’un malware (Citadel, introduit via phishing) qui vole des

données de connexion depuis un PC d’un sous-traitant gérant les

installations d’air conditionné. Cela commence par une défaillance

humaine ;

2. Connexion chez Target avec les identifants. Accès à l’application web pour

le sous-traitant (facturation, gestion projet, gestion des contrats. Point

notable : il s’agissait d’une application anodine, non critique, sans accès aux

systèmes visés) ;

3. Exploitation d’une vulnérabilité de l’interface web, qui permet d’uploader du

code sur le serveur (upload d’un web shell PHP) ;

4. Reconnaissance : recherche de cibles (serveurs contenant des numéros de

CB, bases de données) pour propagation en requêtant l’annuaire Active

Directory (en LDAP / recherche string “MSSQLSvc“) ;

5. Vol d’un jeton d’authentifcation (Pass-the-Hash) dans la mémoire de

l’application web ;

6. Création d’un nouveau compte admin de domaine dans l’AD en utilisant le

jeton d’authentifcation volé (net user / group) ;

7. Propagation vers les machines cibles avec les comptes admin de domaine

(RDP et PsExe pour exécution d’autres softs à distance, scan IP pour accès

réseau). Utilisation d’outils d’admin légitimes, non détectés ;

8. Vol de données personnelles, extraites de bases de données, via SQL (pas

de CBs). Target était conforme PCI-DSS : pas de données cartes dans leurs

bases de données ; les attaquants ont changé de stratégie : ils ont ciblé les

PoS (Points of Sale) ;

9.

Installation du malware Kaptoxa sur les caisses enregistreuses (PoS), vol de

données 40 millions cartes de crédit. Le seul vrai outil de hacéing ;

cryptosec.org

Licence CC – BY – NC – SA

5

10. Envoi des données volées via des partages vers une machine pouvant sortir

en FTP ;

11. Exfltration via FTP.

Pendant que l’attaque était en cours, l’équipe qui monitorait la sécurité du

système d’information de Target depuis Bangalore, en Inde, a détecté quelque

chose et alerté les équipes opérationnelles à Minneapolis. Mais l’alerte est restée

lettre morte, aucune action n’a été entreprise.

Cette conclusion introduit un premier principe, essentiel :

La sécurité n’est jamais un produit, la sécurité est un processus.

La complexité et l’inventivité des attaquants mènent au constat suivant :

À mesure que la sophistication des usages croit, celle des malveillances aussi.

Qu’est-ce qui aurait permis d’identifer et peut-être de réduire ces risques ? Des

tests de sécurité :

– Des audits sur site, chez le (les) prestataire(s) ;

– Des tests d’ingénierie sociale ;

– Des pentests (penetration tests) ;

– Des scans ;

– Des audits de code ;

– Des exercices et tests des processus de détection ;

– Des exercices d’entrainement à la gestion des situations de crise…

cryptosec.org

Licence CC – BY – NC – SA

6

II.

La sécurité et les risques

La sécurité est une situation objective caractérisée par la seule présence de

risques maitrisés.

En principe la sûreté est relative aux risques accidentels (résultant

éventuellement d’actions humaines involontaires), tandis que la sécurité traite

des actes malveillants.

Ainsi, la sûreté traite des mécanismes participant à la continuité du

fonctionnement d’un système, tandis que la sécurité traite des mécanismes

protégeant l’information des accès et manipulations non autorisés.

Mais dans le domaine informatique, un seul terme est usuellement utilisé,

« sécurité », tandis que « sûreté » est souvent utilisé dans le domaine de la

sécurité physique. À noter qu’avec l’informatisation croissante des mécanismes

de sécurité physique, la frontière entre ces deux domaines devient de plus en

plus poreuse.

cryptosec.org

Licence CC – BY – NC – SA

7

(Blacé Hat 2016 – Las Vegas)

Les risques sont des contingences indésirables qui peuvent être avérées,

potentielles ou futures. Ils découlent d’une probabilité qu’une menace exploite,

intentionnellement ou non, une vulnérabilité.

Toute chose, en particulier un individu ou une organisation, s’eforce de

persévérer dans son être (Baruch Spinoza, Éthique III, Proposition VI, 1677).

Elle va donc chercher à minimiser les contingences adverses. C’est-à-dire qu’elle

va essayer d’évoluer, dans l’espace et le temps, entre des états où elle maitrise

les risques qui la menacent.

d’une dynamique de maitrise.

Ce que l’on voit, c’est que la sécurité, élément essentiel de l’existence, résulte

Cette dynamique ofre quatre manières de modifer un risque unitaire :

–

Tenter de le réduire : cela consiste soit à diminuer la probabilité que se

matérialise une menace, soit à réduire son impact, ses conséquences, s’il

se réalise ;

–

L’accepter : cela consiste à considérer que l’efet indésirable du risque,

qu’il soit faible ou létal, est acceptable au regard des enjeux, des objectifs,

du désir ou des obligations de l’individu ou de l’organisation ;

–

Le refuser : cela signife modifer sa propre essence, ce que l’on est ou ce

que l’on fait afn de se soustraire à des vulnérabilités. Ce qui revient à ne

pas réaliser une action ou amputer une fonctionnalité ;

cryptosec.org

Licence CC – BY – NC – SA

8