Cyber sécurité
Par Nicolas Dewaele
Ingénieur systèmes et sécurité
adminrezo.fr
Document sous licence CC BY-SA
Introduction
Défense en profondeur : terme emprunté à une technique militaire destinée à retarder l'ennemi, consiste à exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant.
Rôle de la sécurité
Répondre aux exigences de : - Disponibilité - Intégrité - Confidentialité
Sommaire
- Quelles attaques et par qui ?
- Protection des systèmes et réseaux
- Sécurité du poste de travail
- Cryptographie
- Authentification
- Protection des communications
- Sans-fil et mobilité
- Sécurité des applications web
- Sauvegardes et journaux
- Gestion de la sécurité au quotidien
I- Quelles attaques et par qui ?
Quelles menaces ? (1/3)
Quelles menaces ? (2/3)
-
Quels sont les modèles économiques de la cyber criminalité ?
-
Attaquer au porte-feuille : Ransomwares, arnaques, ...
- Attaquer la concurrence : DDoS, exfiltration de données, ...
Quelles menaces ? (3/3)
Des liens :
Comment lutter ?
- Sensibiliser les utilisateurs
- Renforcer et harmoniser les sanctions
- Mettre en conformité son système d'information
Pourquoi la sécurité est à la traine ?
- Manque de budget
- Manque de personnel qualifié
- Manque de temps
Quelques stats :
- 1 bug pour 1000 lignes de code
- 9000 failles en 2015
- environ 10% des failles sont exploitées
Cycle de vie d'une vulnérabilité (classique)
- Découverte d'une faille → 0day
- Publication de l'exploit (souvent dans le mois)
- Publication du correctif
- Application du correctif
Cycle de vie (mode 2017)
- Découverte d'une faille en mode privé (bug bounty)
- Développement du correctif en privé
- Publication de l'exploit
- Application du correctif
II- Protection des infrastructures
Pare-feu
Règles de base
2 règles fondamentales :
- tout ce qui n'est pas autorisé est interdit
- Pas de flux direct de l'externe vers l'interne → DMZ
Bonnes pratiques de conception
- On peut tolérer la compromission d'une DMZ Internet donc pas de données sensibles.
- Rupture technologique entre DMZ et LAN.
- Accès en mode diode (un seul sens : lan → DMZ)
Recommandations ANSSI pour le pare-feu
Rôle du firewall
- Filtrage réseau
- Filtrage applicatif :
- protocole applicatif (http)
- l'application
- Authentification
- VPN, Multiples DMZ, IPS
- UTM : VPN + Ips + content filtering
- Firewall NG (ex : Palo alto) : controle de contenu
- p2p
- tor
- casb (cloud access broker)
Virtualisation
Virtualisation
La virtualisation augmente la surface d'attaque.
Classifier les actifs et en déduire la répartition physique :
- Internet
- Extranet
- Intranet
- Développement
- ...
Risques liés à la virtualisation
- Inefficacité de la supervision classique
- Manque d'experience dans la virtualisation
- Manque d'intégration de la secu dans les projets
- Difficulté de maîtriser l'architecture
Risques liés aux VMs :
- Risques habituels de la machine physique
- Réseaux virtuels, arp spoofing
- Instant on gaps (vulnérabilites instantanées) : VMs modèles non patchées
- Profusion de VMs, generées facilement mais rarement détruites
- Vol de VMs
- Attaque inter VMs
- Mitm sur déplacement de VMs
Risques liés à l'hyperviseur :
- Compromission de l'hyperviseur (rootkit, hyperkit, hyperjacking)
- hyper escape : Une VM déborde sur une autre → Très courant
- Sécurité des systèmes de virtualisation (ANSSI)
Cloud computing
Frein n1 du cloud : La sécurité
Qu'est-ce que le cloud ?
Services à la demande sur Internet, souvent hébergés par un tiers. - SaaS, PaaS, IaaS - Cloud public : Mutualisé. - Cloud hybride : Infos sensibles chez soi, le reste dans le cloud public. - Cloud privé : VMs dédiées mais voir si le reste du physique est dédié.
Menaces liées au cloud
- Fuite d'info
- Authentification
- API
- Vulnerabilités des systèmes et des logiciels
- …
Acteurs de la sécurité du cloud
- → Cloud security alliance
- → Sécurité Cloud
- → ANSSI :
- Maitriser les risques de l'infogérance
- Qualification des prestataires de cloud
Normes et méthodes (1/2)
- Normes ISO :
- 17788 : Vue d'ensemble du cloud
- 17789 : Architectures de référence
- 27018 : Protection des données personnelles
- 27017 : Bonnes pratiques de sécurité pour les fournisseurs de cloud
Normes et méthodes (1/2)
- Méthode EFICACS
- Classification des données
- Evaluer la tolérance pour chaque risque
- Analyser les risques du fournisseur cible
- Traiter les risques
- Evaluer ded maniere detaillee le csp
- Identifier les contrats d'assurance
- Définir un plan de controle continu
- Guide de bonnes pratiques, sensibilisation
III- Sécurité du poste de travail
Pourquoi protéger le poste client ?
Souvent point d'entrée avant d'accéder à un serveur.
Menaces :
- usurpation d'identité
- vol de données
- destruction de données
- Attaques
Comment :
- Faille de sécurité
- Virus, vers (s'auto reproduit/déplace/exécute)
- Trojan
- Backdoor
- Keylogger
- Screenlogger
- Spyware, Adware
- Ransomware
- Rootkit
- Spam
- Phishing
- Hoax
Protections
- Anti malware obligatoire sur chaque PC.
- Proposer en plus un AV sur les flux réseaux (ex : passerelle SMTP).
- Comment choisir un anti virus ?
- ~~Taux de détection~~ : Les tests n'ont aucune valeur.
- Console de gestion
- Plate formes supportées
- réactif ou proactif (comportemental)
- Consommation mémoire
- Nationalité de l'éditeur → confiance en l'éditeur
- Conformité du poste client
System hardening
Unix/Linux
- Guide de sécurité Debian
- Guide de sécurité RedHat (en)
- Hardened BSD : Un FreeBSD encore plus sécurisé
Windows 7
- UAC
- Biométrie native
- DirectAccess : VPN
- AppLocker
- Chiffrement Bitlocker et TPM
- Signature électronique des drivers et logiciels
Windows 8
- Antivirus intégré
- SMBv3 est chiffré
- Contrôle parental
Windows 10
- Support jusqu'en 2025
- Hello (biométrie)
- Passport (authentification)
- Mouchard en mode configuration rapide
- Emet : Durcissement d'OS (voir guide ANSSI). A mettre en place avec des exceptions.
Scanners de postes de travail
- Windows :
- Microsoft Baseline Security Analyser
- Kaspersky System Checker
- Linux/Unix :
- Chrootkit
- Vuls
Sécurité des navigateurs
- 10% de toutes les vulnérabilités sans compter les plugins.
- Utilisateur → site compromis ou malicieux → serveur d'exploit → installation de malware → malware changeant controlé à distance
- Adobe Flash : A SUPPRIMER !!! : Très insecurisé et adobe ne mets à jour que très tard.
Exemple : Contamination de wordpress → infection par Flash → injection de cryptowall 147 redirection de serveurs → 150 000 euro de pub → 34 million d'euro / mois
Solutions
- Mises à jour
- Virtual Browser (VDI mais pour le navigateur)
- Browser check par Qualys
IV- Cryptographie
Les deux intérêts de la crypto :
-
Confidentialité : être sûr de ne pas être espionné
→ Chiffrement symétrique (AES256)
→ Chiffrement asymétrique (RSA, DSA) -
Intégrité : Etre sûr que le message n'est pas altéré
→ Fonctions de hashage (SHA2 ou SHA3)
Asymétrique ou symétrique ?
Asymétrique trés consommateur en ressource.
Pour une plus faible consommation : 1. Clé générée en symétrique. 1. Transfert de la clé en asymétrique. 1. Le reste en symétrique.
PKI (Gestion des certificats)
Une infrastructure à clés publiques permet :
- Emission de certificats
- Révocations
- Gestion des listes de révocation CRL (Pas en temps réel)
- OCSP Protocole réseau pour la liste des révocations (temps réel)
- Stockage des certificats
- Politiques de certifications
En résumé
- Choisir les bons algos : sha2 ou 3, rsa2048, dh2048, aes256
- Vérifier l'implémentation logicielle : Backdoor, stockage
- Surveiller l'installation
- Vérifier l'utilisation : Procédures, sensibilisation
- WebDoc de l'ANSSI sur la crypto
V- Authentification
Introduction
- Identification : Qui est l'utilisateur
- Authentification : Utilisateur + Preuve (ex : Login, mot de passe)
- Autorisation : Que peut faire l'utilisateur
- Tracabilité : Logs
- SSO : Authentification unique
Facteurs d'authentification
- Biométrie → déclaration à la CNIL
- Login, mdp
- Carte, matériel
- OTP
- Authentification forte : au moins 2 facteurs
- Mots de passe statique
Qu'est-ce qu'un bon mot de passe ? (1/2)
- Choix du mot de passe : Compliqué, différent partout
- Transmission : chiffré
- Gestion et stockage : carnet, navigateur, gestionnaire de mot de passe
- Gestion et transmission par le fournisseur : robustesse, anti-bruteforce, 2 facteurs.
- Stockage ideal : hash chiffré par rsa avec clé privée sur HSM. AD : hmac 256 avec 10000 itérations
Qu'est-ce qu'un bon mot de passe ? (2/2)
- ANSSI : Calculer la force d'un mot de passe
- OWASP Passfault
- Le plus important : L'entropie. Entropie de 100. 16 caractères dans l'alphabet international de 72 caractères.
Gestionnaires de mots de passe
- Le gestionnaire intégré au navigateur
- Tableur (aes256).
- Keepass : Logiciel libre (Win, Linux, Android)
- Web
- Lesspass : Intégré aux navigateurs
- SysPass
- ...
OTP
Mot de passe à usage unique.
Porte clé OTP : RSA ou Gemalto
Seed à l'intérieur du porte clé, l'OTP change sans arrêt.
Le serveur (chez nous) à partir du seed, connaît l'OTP momentané du client.
HOTP : Code change à chaque connexion, TOTP : le compteur change toutes les 30 secondes
Côté client : FreeOTP Authenticator
VI- Protection des communications
SSL/TLS
SSL : Propriétaire Netscape. Brevets rachetés par l'IETF. Normalisé en TLS en 99.
Type de politiques :
- DV : On est bien le propriétairedu domaine → peu sûr
- OV : Controle de l'organisme et du domaine (kbis, carte d'identité, ...) → peu sûr
- EV : Vérification très approfondie → sûr, se voit dans le navigateur (nom, pays, …)
Autorités de certification :
- 120 CA root. 1000+ Agences de certifications.
- Signent les CA intermédiaires.
- Chaîne de certification = www → ca intermédiaire 2 → ca intermédaires → ca root
Problèmes avec TLS
- Mettre les bons algos
- Problèmes de logiciel ou de librairies.
- Problèmes de protocoles
Tests de TLS
Comprendre la ciphersuite
TLS_ : Plus de SSL ECDHE_ : Echange de clés RSA_ : Authentification WITH_AES : Chiffrement symétrique 128_ : Longueur de clé GCM_ : Mode de chiffrement par bloc SHA256 : Algo de signature
VPNs
IPSec
Sécurité prévue pour IPv6 appliquée à IPv4.
IPv4 actuel : IPSec directement intégré (vista, 2008).
- Transport : de bout en bout : entre 2 machines dont on veut rendre le dialogue confidentiel
- Tunnel (la plupart du temps) : entre 2 passerelles ou entre un hôte et une passerelle
Méthodes IPSec
- Création d'une Security Policy de chaque côté du tunnel → trop intrusif pour le grand public
- Définition de sélecteurs (quel paquet on chiffre)
- Action si ça match (supprimer, ne rien faire, traiter)
- Authentification mutuelle par IKE (phase 1) : PSK, kerberos, certificat
- Création d'une SA (Security association) de service = Canal chiffré → DH pour l'échangede clé, clé privée, certificat
- Phase 2 : Création de 2 SA applicatives (1 dans chaque sens)
- AH : Uniquement contrôle d'intégrité mais ne contrôle pas l'en-téte IP → Ne passe pas le Nat
- ESP : Chiffrement (+ option d'intégrité)
- PFS possible avec une durée de validité d'une demi journée idéalement.
- SPI = index des numéros qui identifient la clé qui est utilisée pour telle SA applicative, étant donné que tout le flux est chiffré.
VPN SSL
Avantages / inconvénients par rapport à IPSec :
-
- D'hôte à site, pas d'hôte à hôte, ni entre 2 routeurs
-
- Pas de RFC → Solutions propriétaires avec le client du constructeur (Juniper Neoteris)
-
- Rien à paramétrer côté client (Pas de SP à configurer)
-
- Traverse les firewalls car passe par TCP/443
Contrôle de conformité (Network access protection)
Vérification que le poste est conforme à la sécurité de l'entreprise.
- Tant que le poste n'est pas conforme, le HRA lui refuse d'entrer
- Le serveur NPS (nrtwork policy server) envoie au client l'adresse du/des serveurs de remédiation (anti-virus, màj, …)
- Le client devient conforme
- Le HRA appelle la CA pour fabriquer un nouveau certificat à durée limitée.
VII- Sans-fil et mobilité
Wifi
Wifi perso (1/2)
Menace : → Relai d'intrusion (faire des choses interdites sur la connexion d'un autre)
- ~~Masquage du SSID~~
- ~~Réservation d'adresses MAC~~
- ~~WEP~~ :
- chiffrement symétrique par RC4
- clés 64 ou 128 bits
- Challenge / réponse par algo symétrique
- Fabrication de la clé et algorithme RC4 très faibles
- ~~VPS~~
- Code pin côté client qui génère une passphrase
- Failles de sécurité
- PBC : Bouton, NFC : dangereux
Wifi perso (2/2)
- WPA
- l'algo de chiffrement rc4 est gardé car il est implémenté en dur sur les bornes (compatibilité)
- Nouvelle façon de gérer les clés : TKIP
- TKIP : Vulnérabilités mais pas exploitables
- Faille dans la passphrase (min. 20 caractères)
- WPA2
- Algo AES
- Gestion des clés CCMP
- Faille dans la passphrase (min. 20 caractères)
- Pas de vulnérabilités dans le protocole ou la gestion des clés
Wifi entreprise
Menaces : → intrusion, vol de credentials, DoS
- 802.1x (Radius) :
- Quand Radius est activé, seul EAP est autorisé
- Challenge entre borne et serveur
- Une fois authentifié, connectivité normale
- client → eap → borne → Radius → serveur radius
- EAP possibles :
- ~~MD5~~, ~~LEAP~~ : Brute force
- TLS : Un certificat sur chaque device
- FAST : Que Cisco
- TTLS + PEAPv0 mschapv2, PEAPv1 eap-gtc : mots de passe
- SIM ou AKA : Pour les opérateurs
Hotspot
Menaces : → Vol de credentials, vol de CB
- Portail captif :
- Données en clair
- Comment s'assurer de l'authenticité du portail captif ?
- Chiffrer par VPN pour les usages pro
Ordiphones
Tous les risques sont cumulés sur les ordiphones.
Menaces :
- Usage non approprié de la plateforme
- Stockage non sécurisé
- Communication non sécurisée
- Authentification non sécurisée
- Autorisation non sécurisée
- Cryptographie faible
- Faible qualité du code
- Modification de code
- Ingénierie inverse
- ...
Vulnérabilités :
- iOS : 84% des failles
- jailbreak porte ouverte pour tous les malwares
- chiffrement fort à partir d'ios 8
- Android 16%
- beaucoup de malwares dans les apps car pas de contrôle de Google → Antivirus
- chiffrement fort à partir d'android 4.4
- Le reste : rien du tout
Ordinateurs portables (1/2)
Chiffrer le disque dur :
- M$ EFS : Chiffre fichier par fichier
- M$ Bitlocker :
- Chiffre tout le volume avec une seule clé, la FVEK
- FVEK chiffrée par la VMK
- VeraCrypt : Chiffrement de partition ou de fichier
- Linux/Unix : LUKS
Ordinateurs portables (2/2)
Utiliser un VPN pour accéder au réseau de l'entreprise.
VIII- Sécurité des applications web
5 mythes du Clusif
- Par défaut, les logiciels ne sont pas sécurisés → Exigences
- Seuls des génies peuvent exploiter des failles
- Le site est sécurisé gràce à TLS
- Je suis protégé par un firewall
- Les failles des applications internes ne sont pas graves
Applications vs infra
Sécurité d'une application : code + infra.
Très peu de failles sur l'infra, beaucoup de failles sur les applis.
Applis web = 50% de toutes les failles.
Top 10
- Injections (SQL, LDAP, ...)
- XSS (Exécution de code JS)
- Sessions et authrntification (vol de session, ...)
- Référence non sécurisée à un objet
- CSRF (Faire exécuter un script à quelqu'un qui a plus de droits)
Protections
- Toujours contrôler côté serveur les données envoyées par le client.
-
Les accès SQL doivent être limités en lecture seule si possible.
- Clusif : Défense en profondeur des applications Web
WAF
- WAF = reverse proxy web = IPS Web : protège les serveurs
- Le WAF fait la terminaison TLS.
- Configuration très fine qui doit changer à chaque modification de l'application.
- Apache Modsecurity
- Nginx NAXSI
IX- Sauvegardes et journaux
Sauvegardes
- Sauvegarde : permet de restaurer une donnée en cas de perte
- Archivage : permet de sauvegarder un historique du SI
Choix d'un système de sauvegardes
- Multi OS
- Complète / Incrémentielle
- Durée de rétention
- Nombre de versions
- Déduplication
- Chiffrement
Gestion des journaux
Obligation légale de garder 1 an de logs d'accès
- Multi OS
- Rotation
- Compression
- Facilities
- Loglevels
Restriction maximale des accès
- Uniquement les administrateurs
- Authentification double facteur
X- Développement sécurisé
Bonnes pratiques
- Valider les entrées à tous niveaux
- Utiliser les fonctions de sécurité incluent dans les librairies et les frameworks
- Utiliser des requêtes préparées
- Chiffrer (les transferts et les données)
- Prendre en compte la sécurité dans le cycle de vie
- Authentifier et gérer les droits
- Journaliser
Contraintes réglementaires (RGPD et autres)
- Déclarer les bases de données personnelles à la CNIL
- Prendre en compte la sécurité par défaut
- Inclure le RSSI et le CIL dans tout projet
- Chiffrer les données personnelles
- Fournir une archives de données interopérables à la demande
XI- Gestion de la sécurité au quotidien
Audit
Par qui, par rapport à quel référenciel ?
Motivation des audits : - Respect de la PSSI - exigence contractuelle - suite à une attaque
Test d'intrusion
Ce n'est pas un audit car il n'y a pas de référentiel.
- Test en production.
- Interne, externe, applicatif.
- Attention à rester dans le cadre légal.
Outils de test d'intrusion
Scanners de sécurité : Généralistes ou spécialistes → Trouvent 45% des failles
- Distributions Linux :
- Kali
- Backbox
- Samurai (Web)
Supervision de la sécurité
- Tableaux de bords TDBSSI
- Veille techno
- Tableaux de bord
- SIEM : Logiciel de supervision de la sécurité
- logs → SIEM → ioc (indicateurs de compromissions) + règles → alertes
- corrélation d'évènements
- OSSIM, ELK, Prelude
- SOC : Centre opérationel de sécurité (grandes entreprises : processus, techniciens, …)
- utilise un SIEM
- PRIS : Prestataire de remédiation
Conclusion :
- Aujourd'hui, les attaques sont industrialisées et ciblées
-
Il faut plutôt se concentrer sur les moyens de détection
-
Commencez par le guide d'hygiène de l'ANSSI