securite
This commit is contained in:
parent
98f16f144a
commit
a9e1ade4b6
1 changed files with 160 additions and 0 deletions
160
securite/01_init.md
Normal file
160
securite/01_init.md
Normal file
|
|
@ -0,0 +1,160 @@
|
|||
# Sécurité 2024-03-01
|
||||
|
||||
epita-ssie@priamos.fr
|
||||
|
||||
etienne gérain => ne pas hésiter à se connecter sur linkedin
|
||||
s8 => base cyber, cybersec technique (protection et attaques), sec du cloud, cybersec en entreprise
|
||||
|
||||
évaluations => tout ne sera pas dans le support de cours
|
||||
=>possibilité d'évaluation non prévues, réviser le cours pour le cours suivant
|
||||
|
||||
actualité
|
||||
oct 2023 -> vinovalie paralysée par hackers occitanie, hopitaux vittel et neufchateau dans les vosges sont la cible d'une cyberattaque grand est
|
||||
lockbit, plus grand groupe cybercriminel , interventions récentes de polices interpays
|
||||
|
||||
## Histoire
|
||||
fin du 8ème siècle, les vikings attaquent la france car riche mais mal organisée, attaques surprises délocalisées, population naive, pas de réponse coordonnée au problème
|
||||
|
||||
21è => la France possède une énorme richesse en capital intellectuel, même problème
|
||||
|
||||
école/université contre cybercrime
|
||||
Pasteur => association recherche enseignement et pratique est la meilleure approche
|
||||
|
||||
internet vient de l'US army, sous le nom d'ARPANET, obj : améliorer la comm entre armées
|
||||
années 50, guerre froide
|
||||
bases stratégiques permettant aux USA d'encercler l'urss et de lancer des att. surprises avec des bombardiers
|
||||
l'urss développe son arsenal nucléaire, prend l'avantage dans les années 60
|
||||
les usa n'étaient pas protégées contre des att. sur leur réseaux de comm, une att sur une infrastruct. pouvait faire tomber tout le réseau
|
||||
=> développement de l'arpanet, premier réseau maillé de **communication distribué** par léonard kleinrock à la fin des années 60 privé non prévu pour le grand public => aucune confidentialité, peu de controle d'intégrité
|
||||
d'autres réseaux se développpent autour de la techno TCP/IP (NSFnet, USEnet,...)
|
||||
arpanet s'interconnecte avec des univ et des labo civils ou privés
|
||||
TCP/IP (protocole ouvert)=>beaucoup de flexibilité mais aucun mécanisme de séc.
|
||||
nombreuses failles dans le protocole (ICMP prot. de ping, Routage, N° de séquence, SYN flooding (ouverture de tonnes de connexion), UDP) palliées par des rustines ou des surcouches
|
||||
|
||||
concept de *diode* dans un réseau => communique dans un seul sens x -- |> -- X
|
||||
B diode A B peut communiquer vers A mais l'inverse est impossible
|
||||
n'accepte que le protocole UDP car pas d'acknowledge possible, risque de saturation si TCP
|
||||
ex d'utilisation : un pilote d'avion communique aux passagers
|
||||
|
||||
TCP/IP combine identité et localisation sur le réseau dans un objet : l'adresse IP => attaques facilitées car mascarade possible, détection problématique, anonymat quasi assuré
|
||||
|
||||
D'autres pb qu'internet :
|
||||
- terminaux et OS optimisés pour exp. utilisateur pas pour la sécurité
|
||||
- µprocesseurs tjrs plus complexes introduisant des failles dans le hardware (spectre, meltdown)
|
||||
- Fournisseurs de services incompétents
|
||||
- utilisateurs naifs
|
||||
- hacktivistes, criminalité, concurrence, cyber guerre
|
||||
|
||||
HSM = hardware sec module, équipement permettant de génerer et stocker des clés crypto de séc.
|
||||
cage d'écho -> rés. sociaux, suivre les gens qui pensent comme nous donne un faux sentiment de sécurité, manipulation
|
||||
|
||||
## Aujourd'hui
|
||||
|
||||
- 1 entreprise sur 2 se fait attaquer
|
||||
- 74% des etps déclarent le phishing comme vecteur d'entrée principal pour les attaques subies
|
||||
- dans 60% des cas les attaques impactent le le business des etps avec dans 7% des un déficit du CA
|
||||
- les autres préjudices sont : vol de données (35%),usurpation d'identité (33%),données chiffrées par ransomware (22%)
|
||||
|
||||
8 etps sur 10 mènent des campagnes de sensibilisat°, mais 38% des incidents constatés proviennent de négligences/err. de manipulation
|
||||
|
||||
Les budgets alloués à la cybersec dépassent majoritairement 5% du budget IT global. 63% des etps prévoient une augmentation allouée aux dispositifs de prot., et 54% attribuée à l'augment. des effectifs
|
||||
|
||||
xdr -> syst. de détection temps réel mais ne répond pas aux "menaces inconnues"
|
||||
|
||||
station blanche => équipement pour tester une clé usb par exemple
|
||||
|
||||
|
||||
les attaques se multiplient
|
||||
|
||||
réseau de zombies => utilisation d'une partie des ressources d'un tél. etc pr recréer un syst. virtuel capable d'attaquer
|
||||
|
||||
fuite de données chez un opérateur tcom (2014)=> défaillance d'un sous-traitant, avec serveur mal sécurisé permettant l'accès libre au fichier client
|
||||
|
||||
|
||||
STUXNET -> 1ère utilisation majeure d'un cyber arme sur les centrales nucléaires iraniennes
|
||||
usb possède capacité d'autorun
|
||||
|
||||
|
||||
nouveaux vikings => gouvernement, etp, crime organisé, fraudeurs
|
||||
attaques => défaçage de site, arnaque au président (d'une société), chantage à la webcam, déni de service, etc
|
||||
|
||||
Le niveau de risque augmente
|
||||
france => 1 des 3 pays les + ciblés par la manipulat°, influence, etc
|
||||
|
||||
|
||||
# Partie 2
|
||||
## Principaux types d'attaques
|
||||
|
||||
maillon faible (l'humain) => peut souhaiter bypasser le système existant si inadapté aux besoins, pas forcément uniquement de la faute de l'humain
|
||||
principaux vecteurs :
|
||||
- le web (sysmantec detecte +10 000 nouveaux sites web infectés par jour)
|
||||
- la messagerie
|
||||
- les clés usb
|
||||
|
||||
top 14 attaques : ransomware, malware, service Maas, attaque par DoS et DDoS, Phishing, attaque type Man in the middle (MITM)
|
||||
, script intersite (XSS), injection SQL, Tunneing DNS, Attaque de mots de passe, Attaque des anniversaires, attaque type "drive-by",
|
||||
cryptopiratage, attaque IoT
|
||||
|
||||
|
||||
phishing => extensions communes dangereuses : doc, pdf, exe, etc
|
||||
marché noir sur le dark web
|
||||
achat / vente de documents d'identité, n° de cartes bancaires, comptes sur des cloud, kits pour malwares
|
||||
|
||||
**Spear fishing (SP)**=> version ciblée du phishing, envoi d'un mail depuis un contact connu un collègue, ou un proche
|
||||
-> adresse email source maquillée ou piratage du mail du contact
|
||||
-> exploitat° des données publiques de la cible et de ses contacts sur les réseaux, des données de l'entreprise
|
||||
|
||||
pb majeur dans les etps, organisation de campagnes de sensibilisation
|
||||
|
||||
sécurité par l'obscurité = sécurité en cachant des bouts de code
|
||||
-> mac et windows ont certaines parties de code propriétaires
|
||||
|
||||
recommandation
|
||||
(openbsd => aucun protocole ouvert par défaut)
|
||||
un seul antivirus sur son OS, 2-3 antivirus dans une ept (1 pour les ordis portables par exemple, 1 pour les serveurs)
|
||||
|
||||
plsrs antivirus se basent sur la même manière de detecter les virus
|
||||
|
||||
ne jamais se connecter à un réseau wifi ouvert ou filaire, si données sensibles sur un ordi
|
||||
|
||||
2017 : 1/13 des sites webs sont malicieux
|
||||
|
||||
|
||||
début d'attaque : souvent SP (71% 2017), watering holes
|
||||
watering holes => site web non géré par l'entreprise mais ou tous les utilisateurs se connectent (par exemple site web d'un comité d'etp) =>on attaque ce site web au lieu d'attaquer l'etp
|
||||
|
||||
SP => signes évocateurs (un contact a un besoin urgent, on vous demande de changer votre mode de connexion, on vous questionne sur des outils de paiement, des projets en cours)
|
||||
|
||||
recommandations d'outils : olvide, keepass
|
||||
|
||||
comment réagir ?
|
||||
->formation des utilisateurs
|
||||
->controler, Phishing pédagogique
|
||||
->et parfois sanctionner
|
||||
|
||||
|
||||
mail suspect
|
||||
vérifier l'id de l'interlocuteur
|
||||
contacter l'expéditeur par un autre moyen pour demander confirmation
|
||||
ne pas transmettre d'info sensible
|
||||
ouvrir un mail est il dangereux ? oui si le logiciel pour ouvrir le mail interprète de l'html
|
||||
|
||||
|
||||
SP : 1ère étape de l'attaque APT
|
||||
*APT* ->(advanced persistent threat) attaque complexe qui s'est faite en plusieurs étapes, parfois en plusieurs années
|
||||
Kill chain : représentation d'une APT
|
||||
|
||||
reconnaissance (recherche d'infos publiques)-->construction (adaptat° des outils à l'etp)-->livraison (envoie de malware) -->exploitation (--escalade privilèges -->exfiltration--> maintien etc)
|
||||
|
||||
|
||||
on peut représenter la séquence d'injection dans l'apt : envoi de mail--> ouverture du mail etc
|
||||
|
||||
water holing
|
||||
cryptolocker -> chiffre en masse les données accédés en vue d'une rançon
|
||||
Botnet : l'attaquant donne un ordre aux machines zombies qui attaquent à l'insu de l'utilisateur, sert par ex à DDoS
|
||||
|
||||
sabotages d'infrastructures industrielles
|
||||
|
||||
|
||||
menaces : les réseaux sociaux, cyber-harcèlement
|
||||
se protéger : mot de passe : mettre une phrase est plsu complexe à craquer qu'un mdp courts avec symboles spéciaux etc
|
||||
Loading…
Add table
Add a link
Reference in a new issue