8.1 KiB
Sécurité 2024-03-01
etienne gérain => ne pas hésiter à se connecter sur linkedin s8 => base cyber, cybersec technique (protection et attaques), sec du cloud, cybersec en entreprise
évaluations => tout ne sera pas dans le support de cours =>possibilité d'évaluation non prévues, réviser le cours pour le cours suivant
actualité oct 2023 -> vinovalie paralysée par hackers occitanie, hopitaux vittel et neufchateau dans les vosges sont la cible d'une cyberattaque grand est lockbit, plus grand groupe cybercriminel , interventions récentes de polices interpays
Histoire
fin du 8ème siècle, les vikings attaquent la france car riche mais mal organisée, attaques surprises délocalisées, population naive, pas de réponse coordonnée au problème
21è => la France possède une énorme richesse en capital intellectuel, même problème
école/université contre cybercrime Pasteur => association recherche enseignement et pratique est la meilleure approche
internet vient de l'US army, sous le nom d'ARPANET, obj : améliorer la comm entre armées années 50, guerre froide bases stratégiques permettant aux USA d'encercler l'urss et de lancer des att. surprises avec des bombardiers l'urss développe son arsenal nucléaire, prend l'avantage dans les années 60 les usa n'étaient pas protégées contre des att. sur leur réseaux de comm, une att sur une infrastruct. pouvait faire tomber tout le réseau => développement de l'arpanet, premier réseau maillé de communication distribué par léonard kleinrock à la fin des années 60 privé non prévu pour le grand public => aucune confidentialité, peu de controle d'intégrité d'autres réseaux se développpent autour de la techno TCP/IP (NSFnet, USEnet,...) arpanet s'interconnecte avec des univ et des labo civils ou privés TCP/IP (protocole ouvert)=>beaucoup de flexibilité mais aucun mécanisme de séc. nombreuses failles dans le protocole (ICMP prot. de ping, Routage, N° de séquence, SYN flooding (ouverture de tonnes de connexion), UDP) palliées par des rustines ou des surcouches
concept de diode dans un réseau => communique dans un seul sens x -- |> -- X B diode A B peut communiquer vers A mais l'inverse est impossible n'accepte que le protocole UDP car pas d'acknowledge possible, risque de saturation si TCP ex d'utilisation : un pilote d'avion communique aux passagers
TCP/IP combine identité et localisation sur le réseau dans un objet : l'adresse IP => attaques facilitées car mascarade possible, détection problématique, anonymat quasi assuré
D'autres pb qu'internet :
- terminaux et OS optimisés pour exp. utilisateur pas pour la sécurité
- µprocesseurs tjrs plus complexes introduisant des failles dans le hardware (spectre, meltdown)
- Fournisseurs de services incompétents
- utilisateurs naifs
- hacktivistes, criminalité, concurrence, cyber guerre
HSM = hardware sec module, équipement permettant de génerer et stocker des clés crypto de séc. cage d'écho -> rés. sociaux, suivre les gens qui pensent comme nous donne un faux sentiment de sécurité, manipulation
Aujourd'hui
- 1 entreprise sur 2 se fait attaquer
- 74% des etps déclarent le phishing comme vecteur d'entrée principal pour les attaques subies
- dans 60% des cas les attaques impactent le le business des etps avec dans 7% des un déficit du CA
- les autres préjudices sont : vol de données (35%),usurpation d'identité (33%),données chiffrées par ransomware (22%)
8 etps sur 10 mènent des campagnes de sensibilisat°, mais 38% des incidents constatés proviennent de négligences/err. de manipulation
Les budgets alloués à la cybersec dépassent majoritairement 5% du budget IT global. 63% des etps prévoient une augmentation allouée aux dispositifs de prot., et 54% attribuée à l'augment. des effectifs
xdr -> syst. de détection temps réel mais ne répond pas aux "menaces inconnues"
station blanche => équipement pour tester une clé usb par exemple
les attaques se multiplient
réseau de zombies => utilisation d'une partie des ressources d'un tél. etc pr recréer un syst. virtuel capable d'attaquer
fuite de données chez un opérateur tcom (2014)=> défaillance d'un sous-traitant, avec serveur mal sécurisé permettant l'accès libre au fichier client
STUXNET -> 1ère utilisation majeure d'un cyber arme sur les centrales nucléaires iraniennes usb possède capacité d'autorun
nouveaux vikings => gouvernement, etp, crime organisé, fraudeurs attaques => défaçage de site, arnaque au président (d'une société), chantage à la webcam, déni de service, etc
Le niveau de risque augmente france => 1 des 3 pays les + ciblés par la manipulat°, influence, etc
Partie 2
Principaux types d'attaques
maillon faible (l'humain) => peut souhaiter bypasser le système existant si inadapté aux besoins, pas forcément uniquement de la faute de l'humain principaux vecteurs :
- le web (sysmantec detecte +10 000 nouveaux sites web infectés par jour)
- la messagerie
- les clés usb
top 14 attaques : ransomware, malware, service Maas, attaque par DoS et DDoS, Phishing, attaque type Man in the middle (MITM) , script intersite (XSS), injection SQL, Tunneing DNS, Attaque de mots de passe, Attaque des anniversaires, attaque type "drive-by", cryptopiratage, attaque IoT
phishing => extensions communes dangereuses : doc, pdf, exe, etc marché noir sur le dark web achat / vente de documents d'identité, n° de cartes bancaires, comptes sur des cloud, kits pour malwares
Spear fishing (SP)=> version ciblée du phishing, envoi d'un mail depuis un contact connu un collègue, ou un proche -> adresse email source maquillée ou piratage du mail du contact -> exploitat° des données publiques de la cible et de ses contacts sur les réseaux, des données de l'entreprise
pb majeur dans les etps, organisation de campagnes de sensibilisation
sécurité par l'obscurité = sécurité en cachant des bouts de code -> mac et windows ont certaines parties de code propriétaires
recommandation (openbsd => aucun protocole ouvert par défaut) un seul antivirus sur son OS, 2-3 antivirus dans une ept (1 pour les ordis portables par exemple, 1 pour les serveurs)
plsrs antivirus se basent sur la même manière de detecter les virus
ne jamais se connecter à un réseau wifi ouvert ou filaire, si données sensibles sur un ordi
2017 : 1/13 des sites webs sont malicieux
début d'attaque : souvent SP (71% 2017), watering holes watering holes => site web non géré par l'entreprise mais ou tous les utilisateurs se connectent (par exemple site web d'un comité d'etp) =>on attaque ce site web au lieu d'attaquer l'etp
SP => signes évocateurs (un contact a un besoin urgent, on vous demande de changer votre mode de connexion, on vous questionne sur des outils de paiement, des projets en cours)
recommandations d'outils : olvide, keepass
comment réagir ? ->formation des utilisateurs ->controler, Phishing pédagogique ->et parfois sanctionner
mail suspect vérifier l'id de l'interlocuteur contacter l'expéditeur par un autre moyen pour demander confirmation ne pas transmettre d'info sensible ouvrir un mail est il dangereux ? oui si le logiciel pour ouvrir le mail interprète de l'html
SP : 1ère étape de l'attaque APT APT ->(advanced persistent threat) attaque complexe qui s'est faite en plusieurs étapes, parfois en plusieurs années Kill chain : représentation d'une APT
reconnaissance (recherche d'infos publiques)-->construction (adaptat° des outils à l'etp)-->livraison (envoie de malware) -->exploitation (--escalade privilèges -->exfiltration--> maintien etc)
on peut représenter la séquence d'injection dans l'apt : envoi de mail--> ouverture du mail etc
water holing cryptolocker -> chiffre en masse les données accédés en vue d'une rançon Botnet : l'attaquant donne un ordre aux machines zombies qui attaquent à l'insu de l'utilisateur, sert par ex à DDoS
sabotages d'infrastructures industrielles
menaces : les réseaux sociaux, cyber-harcèlement se protéger : mot de passe : mettre une phrase est plsu complexe à craquer qu'un mdp courts avec symboles spéciaux etc