diff --git a/securite/01_init.md b/securite/01_init.md new file mode 100644 index 0000000..804faf6 --- /dev/null +++ b/securite/01_init.md @@ -0,0 +1,160 @@ +# Sécurité 2024-03-01 + +epita-ssie@priamos.fr + +etienne gérain => ne pas hésiter à se connecter sur linkedin +s8 => base cyber, cybersec technique (protection et attaques), sec du cloud, cybersec en entreprise + +évaluations => tout ne sera pas dans le support de cours + =>possibilité d'évaluation non prévues, réviser le cours pour le cours suivant + +actualité +oct 2023 -> vinovalie paralysée par hackers occitanie, hopitaux vittel et neufchateau dans les vosges sont la cible d'une cyberattaque grand est +lockbit, plus grand groupe cybercriminel , interventions récentes de polices interpays + +## Histoire +fin du 8ème siècle, les vikings attaquent la france car riche mais mal organisée, attaques surprises délocalisées, population naive, pas de réponse coordonnée au problème + +21è => la France possède une énorme richesse en capital intellectuel, même problème + +école/université contre cybercrime +Pasteur => association recherche enseignement et pratique est la meilleure approche + +internet vient de l'US army, sous le nom d'ARPANET, obj : améliorer la comm entre armées +années 50, guerre froide +bases stratégiques permettant aux USA d'encercler l'urss et de lancer des att. surprises avec des bombardiers +l'urss développe son arsenal nucléaire, prend l'avantage dans les années 60 +les usa n'étaient pas protégées contre des att. sur leur réseaux de comm, une att sur une infrastruct. pouvait faire tomber tout le réseau +=> développement de l'arpanet, premier réseau maillé de **communication distribué** par léonard kleinrock à la fin des années 60 privé non prévu pour le grand public => aucune confidentialité, peu de controle d'intégrité +d'autres réseaux se développpent autour de la techno TCP/IP (NSFnet, USEnet,...) +arpanet s'interconnecte avec des univ et des labo civils ou privés +TCP/IP (protocole ouvert)=>beaucoup de flexibilité mais aucun mécanisme de séc. +nombreuses failles dans le protocole (ICMP prot. de ping, Routage, N° de séquence, SYN flooding (ouverture de tonnes de connexion), UDP) palliées par des rustines ou des surcouches + +concept de *diode* dans un réseau => communique dans un seul sens x -- |> -- X + B diode A B peut communiquer vers A mais l'inverse est impossible +n'accepte que le protocole UDP car pas d'acknowledge possible, risque de saturation si TCP +ex d'utilisation : un pilote d'avion communique aux passagers + +TCP/IP combine identité et localisation sur le réseau dans un objet : l'adresse IP => attaques facilitées car mascarade possible, détection problématique, anonymat quasi assuré + +D'autres pb qu'internet : +- terminaux et OS optimisés pour exp. utilisateur pas pour la sécurité +- µprocesseurs tjrs plus complexes introduisant des failles dans le hardware (spectre, meltdown) +- Fournisseurs de services incompétents +- utilisateurs naifs +- hacktivistes, criminalité, concurrence, cyber guerre + +HSM = hardware sec module, équipement permettant de génerer et stocker des clés crypto de séc. +cage d'écho -> rés. sociaux, suivre les gens qui pensent comme nous donne un faux sentiment de sécurité, manipulation + +## Aujourd'hui + +- 1 entreprise sur 2 se fait attaquer +- 74% des etps déclarent le phishing comme vecteur d'entrée principal pour les attaques subies +- dans 60% des cas les attaques impactent le le business des etps avec dans 7% des un déficit du CA +- les autres préjudices sont : vol de données (35%),usurpation d'identité (33%),données chiffrées par ransomware (22%) + +8 etps sur 10 mènent des campagnes de sensibilisat°, mais 38% des incidents constatés proviennent de négligences/err. de manipulation + +Les budgets alloués à la cybersec dépassent majoritairement 5% du budget IT global. 63% des etps prévoient une augmentation allouée aux dispositifs de prot., et 54% attribuée à l'augment. des effectifs + +xdr -> syst. de détection temps réel mais ne répond pas aux "menaces inconnues" + +station blanche => équipement pour tester une clé usb par exemple + + +les attaques se multiplient + +réseau de zombies => utilisation d'une partie des ressources d'un tél. etc pr recréer un syst. virtuel capable d'attaquer + +fuite de données chez un opérateur tcom (2014)=> défaillance d'un sous-traitant, avec serveur mal sécurisé permettant l'accès libre au fichier client + + +STUXNET -> 1ère utilisation majeure d'un cyber arme sur les centrales nucléaires iraniennes +usb possède capacité d'autorun + + +nouveaux vikings => gouvernement, etp, crime organisé, fraudeurs +attaques => défaçage de site, arnaque au président (d'une société), chantage à la webcam, déni de service, etc + +Le niveau de risque augmente +france => 1 des 3 pays les + ciblés par la manipulat°, influence, etc + + +# Partie 2 +## Principaux types d'attaques + +maillon faible (l'humain) => peut souhaiter bypasser le système existant si inadapté aux besoins, pas forcément uniquement de la faute de l'humain +principaux vecteurs : +- le web (sysmantec detecte +10 000 nouveaux sites web infectés par jour) +- la messagerie +- les clés usb + +top 14 attaques : ransomware, malware, service Maas, attaque par DoS et DDoS, Phishing, attaque type Man in the middle (MITM) +, script intersite (XSS), injection SQL, Tunneing DNS, Attaque de mots de passe, Attaque des anniversaires, attaque type "drive-by", +cryptopiratage, attaque IoT + + +phishing => extensions communes dangereuses : doc, pdf, exe, etc +marché noir sur le dark web +achat / vente de documents d'identité, n° de cartes bancaires, comptes sur des cloud, kits pour malwares + +**Spear fishing (SP)**=> version ciblée du phishing, envoi d'un mail depuis un contact connu un collègue, ou un proche + -> adresse email source maquillée ou piratage du mail du contact + -> exploitat° des données publiques de la cible et de ses contacts sur les réseaux, des données de l'entreprise + +pb majeur dans les etps, organisation de campagnes de sensibilisation + +sécurité par l'obscurité = sécurité en cachant des bouts de code +-> mac et windows ont certaines parties de code propriétaires + +recommandation +(openbsd => aucun protocole ouvert par défaut) +un seul antivirus sur son OS, 2-3 antivirus dans une ept (1 pour les ordis portables par exemple, 1 pour les serveurs) + +plsrs antivirus se basent sur la même manière de detecter les virus + +ne jamais se connecter à un réseau wifi ouvert ou filaire, si données sensibles sur un ordi + +2017 : 1/13 des sites webs sont malicieux + + +début d'attaque : souvent SP (71% 2017), watering holes +watering holes => site web non géré par l'entreprise mais ou tous les utilisateurs se connectent (par exemple site web d'un comité d'etp) =>on attaque ce site web au lieu d'attaquer l'etp + +SP => signes évocateurs (un contact a un besoin urgent, on vous demande de changer votre mode de connexion, on vous questionne sur des outils de paiement, des projets en cours) + +recommandations d'outils : olvide, keepass + +comment réagir ? +->formation des utilisateurs +->controler, Phishing pédagogique +->et parfois sanctionner + + +mail suspect +vérifier l'id de l'interlocuteur +contacter l'expéditeur par un autre moyen pour demander confirmation +ne pas transmettre d'info sensible +ouvrir un mail est il dangereux ? oui si le logiciel pour ouvrir le mail interprète de l'html + + +SP : 1ère étape de l'attaque APT +*APT* ->(advanced persistent threat) attaque complexe qui s'est faite en plusieurs étapes, parfois en plusieurs années +Kill chain : représentation d'une APT + +reconnaissance (recherche d'infos publiques)-->construction (adaptat° des outils à l'etp)-->livraison (envoie de malware) -->exploitation (--escalade privilèges -->exfiltration--> maintien etc) + + +on peut représenter la séquence d'injection dans l'apt : envoi de mail--> ouverture du mail etc + +water holing +cryptolocker -> chiffre en masse les données accédés en vue d'une rançon +Botnet : l'attaquant donne un ordre aux machines zombies qui attaquent à l'insu de l'utilisateur, sert par ex à DDoS + +sabotages d'infrastructures industrielles + + +menaces : les réseaux sociaux, cyber-harcèlement +se protéger : mot de passe : mettre une phrase est plsu complexe à craquer qu'un mdp courts avec symboles spéciaux etc