# Sécurité 2024-03-01

epita-ssie@priamos.fr

etienne gérain => ne pas hésiter à se connecter sur linkedin
s8 => base cyber, cybersec technique (protection et attaques), sec du cloud, cybersec en entreprise

évaluations => tout ne sera pas dans le support de cours
            =>possibilité d'évaluation non prévues, réviser le cours pour le cours suivant

actualité
oct 2023 -> vinovalie paralysée par hackers occitanie, hopitaux vittel et neufchateau dans les vosges sont la cible d'une cyberattaque grand est
lockbit, plus grand groupe cybercriminel , interventions récentes de polices interpays

## Histoire
fin du 8ème siècle, les vikings attaquent la france car riche mais mal organisée, attaques surprises délocalisées, population naive, pas de réponse coordonnée au problème

21è => la France possède une énorme richesse en capital intellectuel, même problème

école/université contre cybercrime
Pasteur => association recherche enseignement et pratique est la meilleure approche

internet vient de l'US army, sous le nom d'ARPANET, obj : améliorer la comm entre armées
années 50, guerre froide
bases stratégiques permettant aux USA d'encercler l'urss et de lancer des att. surprises avec des bombardiers
l'urss développe son arsenal nucléaire, prend l'avantage dans les années 60
les usa n'étaient pas protégées contre des att. sur leur réseaux de comm, une att sur une infrastruct. pouvait faire tomber tout le réseau
=> développement de l'arpanet, premier réseau maillé de **communication distribué** par léonard kleinrock à la fin des années 60 privé non prévu pour le grand public => aucune confidentialité, peu de controle d'intégrité
d'autres réseaux se développpent autour de la techno TCP/IP (NSFnet, USEnet,...)
arpanet s'interconnecte avec des univ et des labo civils ou privés
TCP/IP (protocole ouvert)=>beaucoup de flexibilité mais aucun mécanisme de séc.
nombreuses failles dans le protocole (ICMP prot. de ping, Routage, N° de séquence, SYN flooding (ouverture de tonnes de connexion), UDP) palliées par des rustines ou des surcouches

concept de *diode* dans un réseau => communique dans un seul sens  x -- |> -- X
                                                                   B    diode  A    B peut communiquer vers A mais l'inverse est impossible
n'accepte que le protocole UDP car pas d'acknowledge possible, risque de saturation si TCP
ex d'utilisation : un pilote d'avion communique aux passagers

TCP/IP combine identité et localisation sur le réseau dans un objet : l'adresse IP => attaques facilitées car mascarade possible, détection problématique, anonymat quasi assuré

D'autres pb qu'internet :
- terminaux et OS optimisés pour exp. utilisateur pas pour la sécurité
- µprocesseurs tjrs plus complexes introduisant des failles dans le hardware (spectre, meltdown)
- Fournisseurs de services incompétents
- utilisateurs naifs
- hacktivistes, criminalité, concurrence, cyber guerre

HSM = hardware sec module, équipement permettant de génerer et stocker des clés crypto de séc.
cage d'écho -> rés. sociaux, suivre les gens qui pensent comme nous donne un faux sentiment de sécurité, manipulation

## Aujourd'hui

- 1 entreprise sur 2 se fait attaquer
- 74% des etps déclarent le phishing comme vecteur d'entrée principal pour les attaques subies
- dans 60% des cas les attaques impactent le le business des etps avec dans 7% des un déficit du CA
- les autres préjudices sont : vol de données (35%),usurpation d'identité (33%),données chiffrées par ransomware (22%)

8 etps sur 10 mènent des campagnes de sensibilisat°, mais 38% des incidents constatés proviennent de négligences/err. de manipulation

Les budgets alloués à la cybersec dépassent majoritairement 5% du budget IT global. 63% des etps prévoient une augmentation allouée aux dispositifs de prot., et 54% attribuée à l'augment. des effectifs

xdr -> syst. de détection temps réel mais ne répond pas aux "menaces inconnues"

station blanche => équipement pour tester une clé usb par exemple 


les attaques se multiplient

réseau de zombies => utilisation d'une partie des ressources d'un tél. etc pr recréer un syst. virtuel capable d'attaquer

fuite de données chez un opérateur tcom (2014)=> défaillance d'un sous-traitant, avec serveur mal sécurisé permettant l'accès libre au fichier client


STUXNET -> 1ère utilisation majeure d'un cyber arme sur les centrales nucléaires iraniennes
usb possède capacité d'autorun 


nouveaux vikings => gouvernement, etp, crime organisé, fraudeurs
attaques => défaçage de site, arnaque au président (d'une société), chantage à la webcam, déni de service, etc

Le niveau de risque augmente
france => 1 des 3 pays les + ciblés par la manipulat°, influence, etc


# Partie 2
## Principaux types d'attaques

maillon faible (l'humain) => peut souhaiter bypasser le système existant si inadapté aux besoins, pas forcément uniquement de la faute de l'humain
principaux vecteurs :
- le web (sysmantec detecte +10 000 nouveaux sites web infectés par jour)
- la messagerie
- les clés usb
  
top 14 attaques : ransomware, malware, service Maas, attaque par DoS et DDoS, Phishing, attaque type Man in the middle (MITM)
, script intersite (XSS), injection SQL, Tunneing DNS, Attaque de mots de passe, Attaque des anniversaires, attaque type "drive-by",
cryptopiratage, attaque IoT


phishing => extensions communes dangereuses : doc, pdf, exe, etc
marché noir sur le dark web
achat / vente de documents d'identité, n° de cartes bancaires, comptes sur des cloud, kits pour malwares

**Spear fishing (SP)**=> version ciblée du phishing, envoi d'un mail depuis un contact connu un collègue, ou un proche
  -> adresse email source maquillée ou piratage du mail du contact
  -> exploitat° des données publiques de la cible et de ses contacts sur les réseaux, des données de l'entreprise

pb majeur dans les etps, organisation de campagnes de sensibilisation

sécurité par l'obscurité = sécurité en cachant des bouts de code
-> mac et windows ont certaines parties de code propriétaires

recommandation
(openbsd => aucun protocole ouvert par défaut)
un seul antivirus sur son OS, 2-3 antivirus dans une ept (1 pour les ordis portables par exemple, 1 pour les serveurs)

plsrs antivirus se basent sur la même manière de detecter les virus

ne jamais se connecter à un réseau wifi ouvert ou filaire, si données sensibles sur un ordi

2017 : 1/13 des sites webs sont malicieux


début d'attaque : souvent SP (71% 2017), watering holes
watering holes => site web non géré par l'entreprise mais ou tous les utilisateurs se connectent (par exemple site web d'un comité d'etp) =>on attaque ce site web au lieu d'attaquer l'etp

SP => signes évocateurs (un contact a un besoin urgent, on vous demande de changer votre mode de connexion, on vous questionne sur des outils de paiement, des projets en cours)

recommandations d'outils : olvide, keepass

comment réagir ?
->formation des utilisateurs
->controler, Phishing pédagogique
->et parfois sanctionner


mail suspect
vérifier l'id de l'interlocuteur
contacter l'expéditeur par un autre moyen pour demander confirmation
ne pas transmettre d'info sensible
ouvrir un mail est il dangereux ? oui si le logiciel pour ouvrir le mail interprète de l'html


SP : 1ère étape de l'attaque APT
*APT* ->(advanced persistent threat) attaque complexe qui s'est faite en plusieurs étapes, parfois en plusieurs années
Kill chain : représentation d'une APT

reconnaissance (recherche d'infos publiques)-->construction (adaptat° des outils à l'etp)-->livraison (envoie de malware) -->exploitation    (--escalade privilèges -->exfiltration--> maintien etc)


on peut représenter la séquence d'injection dans l'apt : envoi de mail--> ouverture du mail etc

water holing
cryptolocker -> chiffre en masse les données accédés en vue d'une rançon
Botnet : l'attaquant donne un ordre aux machines zombies  qui attaquent à l'insu de l'utilisateur, sert par ex à DDoS

sabotages d'infrastructures industrielles


menaces : les réseaux sociaux, cyber-harcèlement
se protéger : mot de passe : mettre une phrase est plsu complexe à craquer qu'un mdp courts avec symboles spéciaux etc