Skip to content

Cyber sécurité

Par Nicolas Dewaele
Ingénieur systèmes et sécurité
adminrezo.fr

Document sous licence CC BY-SA

Introduction

Défense en profondeur : terme emprunté à une technique militaire destinée à retarder l'ennemi, consiste à exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant.

Rôle de la sécurité

Répondre aux exigences de : - Disponibilité - Intégrité - Confidentialité

Sommaire

  1. Quelles attaques et par qui ?
  2. Protection des systèmes et réseaux
  3. Sécurité du poste de travail
  4. Cryptographie
  5. Authentification
  6. Protection des communications
  7. Sans-fil et mobilité
  8. Sécurité des applications web
  9. Sauvegardes et journaux
  10. Gestion de la sécurité au quotidien

I- Quelles attaques et par qui ?

Attaque

Quelles menaces ? (1/3)

Menaces ENISA

Quelles menaces ? (2/3)

  • Quels sont les modèles économiques de la cyber criminalité ?

  • Attaquer au porte-feuille : Ransomwares, arnaques, ...

  • Attaquer la concurrence : DDoS, exfiltration de données, ...

Quelles menaces ? (3/3)

Des liens :

Comment lutter ?

  1. Sensibiliser les utilisateurs
  2. Renforcer et harmoniser les sanctions
  3. Mettre en conformité son système d'information

Pourquoi la sécurité est à la traine ?

  1. Manque de budget
  2. Manque de personnel qualifié
  3. Manque de temps

Quelques stats :

  • 1 bug pour 1000 lignes de code
  • 9000 failles en 2015
  • environ 10% des failles sont exploitées

Cycle de vie d'une vulnérabilité (classique)

  1. Découverte d'une faille → 0day
  2. Publication de l'exploit (souvent dans le mois)
  3. Publication du correctif
  4. Application du correctif

Cycle de vie (mode 2017)

  1. Découverte d'une faille en mode privé (bug bounty)
  2. Développement du correctif en privé
  3. Publication de l'exploit
  4. Application du correctif

II- Protection des infrastructures

Bastion

Pare-feu

Pare-feu

Règles de base

2 règles fondamentales :

  1. tout ce qui n'est pas autorisé est interdit
  2. Pas de flux direct de l'externe vers l'interne → DMZ

Bonnes pratiques de conception

  • On peut tolérer la compromission d'une DMZ Internet donc pas de données sensibles.
  • Rupture technologique entre DMZ et LAN.
  • Accès en mode diode (un seul sens : lan → DMZ)

Recommandations ANSSI pour le pare-feu

Rôle du firewall

  • Filtrage réseau
  • Filtrage applicatif :
  • protocole applicatif (http)
  • l'application
  • Authentification
  • VPN, Multiples DMZ, IPS
  • UTM : VPN + Ips + content filtering
  • Firewall NG (ex : Palo alto) : controle de contenu
  • p2p
  • tor
  • casb (cloud access broker)

Virtualisation

Virtualisation

Virtualisation

La virtualisation augmente la surface d'attaque.

Classifier les actifs et en déduire la répartition physique :

  • Internet
  • Extranet
  • Intranet
  • Développement
  • ...

Risques liés à la virtualisation

  • Inefficacité de la supervision classique
  • Manque d'experience dans la virtualisation
  • Manque d'intégration de la secu dans les projets
  • Difficulté de maîtriser l'architecture

Risques liés aux VMs :

  • Risques habituels de la machine physique
  • Réseaux virtuels, arp spoofing
  • Instant on gaps (vulnérabilites instantanées) : VMs modèles non patchées
  • Profusion de VMs, generées facilement mais rarement détruites
  • Vol de VMs
  • Attaque inter VMs
  • Mitm sur déplacement de VMs

Risques liés à l'hyperviseur :

Cloud computing

Frein n1 du cloud : La sécurité

Cloud

Qu'est-ce que le cloud ?

Services à la demande sur Internet, souvent hébergés par un tiers. - SaaS, PaaS, IaaS - Cloud public : Mutualisé. - Cloud hybride : Infos sensibles chez soi, le reste dans le cloud public. - Cloud privé : VMs dédiées mais voir si le reste du physique est dédié.

Menaces liées au cloud

  • Fuite d'info
  • Authentification
  • API
  • Vulnerabilités des systèmes et des logiciels

Acteurs de la sécurité du cloud

Normes et méthodes (1/2)

  • Normes ISO :
  • 17788 : Vue d'ensemble du cloud
  • 17789 : Architectures de référence
  • 27018 : Protection des données personnelles
  • 27017 : Bonnes pratiques de sécurité pour les fournisseurs de cloud

Normes et méthodes (1/2)

  • Méthode EFICACS
  • Classification des données
  • Evaluer la tolérance pour chaque risque
  • Analyser les risques du fournisseur cible
  • Traiter les risques
  • Evaluer ded maniere detaillee le csp
  • Identifier les contrats d'assurance
  • Définir un plan de controle continu
  • Guide de bonnes pratiques, sensibilisation

III- Sécurité du poste de travail

Poste de travail

Pourquoi protéger le poste client ?

Souvent point d'entrée avant d'accéder à un serveur.

Menaces :

  • usurpation d'identité
  • vol de données
  • destruction de données
  • Attaques

Comment :

  • Faille de sécurité
  • Virus, vers (s'auto reproduit/déplace/exécute)
  • Trojan
  • Backdoor
  • Keylogger
  • Screenlogger
  • Spyware, Adware
  • Ransomware
  • Rootkit
  • Spam
  • Phishing
  • Hoax

Protections

  • Anti malware obligatoire sur chaque PC.
  • Proposer en plus un AV sur les flux réseaux (ex : passerelle SMTP).
  • Comment choisir un anti virus ?
  • ~~Taux de détection~~ : Les tests n'ont aucune valeur.
  • Console de gestion
  • Plate formes supportées
  • réactif ou proactif (comportemental)
  • Consommation mémoire
  • Nationalité de l'éditeur → confiance en l'éditeur
  • Conformité du poste client

System hardening

Knights

Unix/Linux

Windows 7

  • UAC
  • Biométrie native
  • DirectAccess : VPN
  • AppLocker
  • Chiffrement Bitlocker et TPM
  • Signature électronique des drivers et logiciels

Windows 8

  • Antivirus intégré
  • SMBv3 est chiffré
  • Contrôle parental

Windows 10

  • Support jusqu'en 2025
  • Hello (biométrie)
  • Passport (authentification)
  • Mouchard en mode configuration rapide
  • Emet : Durcissement d'OS (voir guide ANSSI). A mettre en place avec des exceptions.

Scanners de postes de travail

Sécurité des navigateurs

  • 10% de toutes les vulnérabilités sans compter les plugins.
  • Utilisateur → site compromis ou malicieux → serveur d'exploit → installation de malware → malware changeant controlé à distance
  • Adobe Flash : A SUPPRIMER !!! : Très insecurisé et adobe ne mets à jour que très tard.

Exemple : Contamination de wordpress → infection par Flash → injection de cryptowall 147 redirection de serveurs → 150 000 euro de pub → 34 million d'euro / mois

Solutions

IV- Cryptographie

Crypto

Les deux intérêts de la crypto :

  1. Confidentialité : être sûr de ne pas être espionné
    → Chiffrement symétrique (AES256)
    → Chiffrement asymétrique (RSA, DSA)

  2. Intégrité : Etre sûr que le message n'est pas altéré
    → Fonctions de hashage (SHA2 ou SHA3)

Asymétrique ou symétrique ?

Asymétrique trés consommateur en ressource.

Pour une plus faible consommation : 1. Clé générée en symétrique. 1. Transfert de la clé en asymétrique. 1. Le reste en symétrique.

PKI (Gestion des certificats)

Une infrastructure à clés publiques permet :

  • Emission de certificats
  • Révocations
  • Gestion des listes de révocation CRL (Pas en temps réel)
  • OCSP Protocole réseau pour la liste des révocations (temps réel)
  • Stockage des certificats
  • Politiques de certifications

En résumé

  • Choisir les bons algos : sha2 ou 3, rsa2048, dh2048, aes256
  • Vérifier l'implémentation logicielle : Backdoor, stockage
  • Surveiller l'installation
  • Vérifier l'utilisation : Procédures, sensibilisation
  • WebDoc de l'ANSSI sur la crypto

V- Authentification

Authentification

Introduction

  • Identification : Qui est l'utilisateur
  • Authentification : Utilisateur + Preuve (ex : Login, mot de passe)
  • Autorisation : Que peut faire l'utilisateur
  • Tracabilité : Logs
  • SSO : Authentification unique

Facteurs d'authentification

  • Biométrie → déclaration à la CNIL
  • Login, mdp
  • Carte, matériel
  • OTP
  • Authentification forte : au moins 2 facteurs
  • Mots de passe statique

Qu'est-ce qu'un bon mot de passe ? (1/2)

  • Choix du mot de passe : Compliqué, différent partout
  • Transmission : chiffré
  • Gestion et stockage : carnet, navigateur, gestionnaire de mot de passe
  • Gestion et transmission par le fournisseur : robustesse, anti-bruteforce, 2 facteurs.
  • Stockage ideal : hash chiffré par rsa avec clé privée sur HSM. AD : hmac 256 avec 10000 itérations

Qu'est-ce qu'un bon mot de passe ? (2/2)

Gestionnaires de mots de passe

  • Le gestionnaire intégré au navigateur
  • Tableur (aes256).
  • Keepass : Logiciel libre (Win, Linux, Android)
  • Web
  • Lesspass : Intégré aux navigateurs
  • SysPass
  • ...

OTP

Mot de passe à usage unique.

Porte clé OTP : RSA ou Gemalto

Seed à l'intérieur du porte clé, l'OTP change sans arrêt.

Le serveur (chez nous) à partir du seed, connaît l'OTP momentané du client.

HOTP : Code change à chaque connexion, TOTP : le compteur change toutes les 30 secondes

Côté client : FreeOTP Authenticator

VI- Protection des communications

Communcation

SSL/TLS

SSL : Propriétaire Netscape. Brevets rachetés par l'IETF. Normalisé en TLS en 99.

Type de politiques :

  • DV : On est bien le propriétairedu domaine → peu sûr
  • OV : Controle de l'organisme et du domaine (kbis, carte d'identité, ...) → peu sûr
  • EV : Vérification très approfondie → sûr, se voit dans le navigateur (nom, pays, …)

Autorités de certification :

  • 120 CA root. 1000+ Agences de certifications.
  • Signent les CA intermédiaires.
  • Chaîne de certification = www → ca intermédiaire 2 → ca intermédaires → ca root

Problèmes avec TLS

  • Mettre les bons algos
  • Problèmes de logiciel ou de librairies.
  • Problèmes de protocoles

Tests de TLS

Comprendre la ciphersuite

TLS_ : Plus de SSL ECDHE_ : Echange de clés RSA_ : Authentification WITH_AES : Chiffrement symétrique 128_ : Longueur de clé GCM_ : Mode de chiffrement par bloc SHA256 : Algo de signature

VPNs

IPSec

Sécurité prévue pour IPv6 appliquée à IPv4.
IPv4 actuel : IPSec directement intégré (vista, 2008).

  • Transport : de bout en bout : entre 2 machines dont on veut rendre le dialogue confidentiel
  • Tunnel (la plupart du temps) : entre 2 passerelles ou entre un hôte et une passerelle

Méthodes IPSec

  • Création d'une Security Policy de chaque côté du tunnel → trop intrusif pour le grand public
  • Définition de sélecteurs (quel paquet on chiffre)
  • Action si ça match (supprimer, ne rien faire, traiter)
  • Authentification mutuelle par IKE (phase 1) : PSK, kerberos, certificat
  • Création d'une SA (Security association) de service = Canal chiffré → DH pour l'échangede clé, clé privée, certificat
  • Phase 2 : Création de 2 SA applicatives (1 dans chaque sens)
  • AH : Uniquement contrôle d'intégrité mais ne contrôle pas l'en-téte IP → Ne passe pas le Nat
  • ESP : Chiffrement (+ option d'intégrité)
  • PFS possible avec une durée de validité d'une demi journée idéalement.
  • SPI = index des numéros qui identifient la clé qui est utilisée pour telle SA applicative, étant donné que tout le flux est chiffré.

VPN SSL

Avantages / inconvénients par rapport à IPSec :

    • D'hôte à site, pas d'hôte à hôte, ni entre 2 routeurs
    • Pas de RFC → Solutions propriétaires avec le client du constructeur (Juniper Neoteris)
    • Rien à paramétrer côté client (Pas de SP à configurer)
    • Traverse les firewalls car passe par TCP/443

Contrôle de conformité (Network access protection)

Vérification que le poste est conforme à la sécurité de l'entreprise.

  • Tant que le poste n'est pas conforme, le HRA lui refuse d'entrer
  • Le serveur NPS (nrtwork policy server) envoie au client l'adresse du/des serveurs de remédiation (anti-virus, màj, …)
  • Le client devient conforme
  • Le HRA appelle la CA pour fabriquer un nouveau certificat à durée limitée.

VII- Sans-fil et mobilité

Ordiphone

Wifi

Wifi perso (1/2)

Menace : → Relai d'intrusion (faire des choses interdites sur la connexion d'un autre)

  1. ~~Masquage du SSID~~
  2. ~~Réservation d'adresses MAC~~
  3. ~~WEP~~ :
  4. chiffrement symétrique par RC4
  5. clés 64 ou 128 bits
  6. Challenge / réponse par algo symétrique
  7. Fabrication de la clé et algorithme RC4 très faibles
  8. ~~VPS~~
  9. Code pin côté client qui génère une passphrase
  10. Failles de sécurité
  11. PBC : Bouton, NFC : dangereux

Wifi perso (2/2)

  1. WPA
  2. l'algo de chiffrement rc4 est gardé car il est implémenté en dur sur les bornes (compatibilité)
  3. Nouvelle façon de gérer les clés : TKIP
  4. TKIP : Vulnérabilités mais pas exploitables
  5. Faille dans la passphrase (min. 20 caractères)
  6. WPA2
  7. Algo AES
  8. Gestion des clés CCMP
  9. Faille dans la passphrase (min. 20 caractères)
  10. Pas de vulnérabilités dans le protocole ou la gestion des clés

Wifi entreprise

Menaces : → intrusion, vol de credentials, DoS

  • 802.1x (Radius) :
  • Quand Radius est activé, seul EAP est autorisé
  • Challenge entre borne et serveur
  • Une fois authentifié, connectivité normale
  • client → eap → borne → Radius → serveur radius
  • EAP possibles :
    • ~~MD5~~, ~~LEAP~~ : Brute force
    • TLS : Un certificat sur chaque device
    • FAST : Que Cisco
    • TTLS + PEAPv0 mschapv2, PEAPv1 eap-gtc : mots de passe
    • SIM ou AKA : Pour les opérateurs

Hotspot

Menaces : → Vol de credentials, vol de CB

  • Portail captif :
  • Données en clair
  • Comment s'assurer de l'authenticité du portail captif ?
  • Chiffrer par VPN pour les usages pro

Ordiphones

Tous les risques sont cumulés sur les ordiphones.

Menaces :

  • Usage non approprié de la plateforme
  • Stockage non sécurisé
  • Communication non sécurisée
  • Authentification non sécurisée
  • Autorisation non sécurisée
  • Cryptographie faible
  • Faible qualité du code
  • Modification de code
  • Ingénierie inverse
  • ...

Vulnérabilités :

  • iOS : 84% des failles
  • jailbreak porte ouverte pour tous les malwares
  • chiffrement fort à partir d'ios 8
  • Android 16%
  • beaucoup de malwares dans les apps car pas de contrôle de Google → Antivirus
  • chiffrement fort à partir d'android 4.4
  • Le reste : rien du tout

Ordinateurs portables (1/2)

Chiffrer le disque dur :

  • M$ EFS : Chiffre fichier par fichier
  • M$ Bitlocker :
  • Chiffre tout le volume avec une seule clé, la FVEK
  • FVEK chiffrée par la VMK
  • VeraCrypt : Chiffrement de partition ou de fichier
  • Linux/Unix : LUKS

Ordinateurs portables (2/2)

Utiliser un VPN pour accéder au réseau de l'entreprise.

VIII- Sécurité des applications web

Pirate

5 mythes du Clusif

  1. Par défaut, les logiciels ne sont pas sécurisés → Exigences
  2. Seuls des génies peuvent exploiter des failles
  3. Le site est sécurisé gràce à TLS
  4. Je suis protégé par un firewall
  5. Les failles des applications internes ne sont pas graves

Applications vs infra

Sécurité d'une application : code + infra.

Très peu de failles sur l'infra, beaucoup de failles sur les applis.

Applis web = 50% de toutes les failles.

Top 10

Top 10 OWASP

  1. Injections (SQL, LDAP, ...)
  2. XSS (Exécution de code JS)
  3. Sessions et authrntification (vol de session, ...)
  4. Référence non sécurisée à un objet
  5. CSRF (Faire exécuter un script à quelqu'un qui a plus de droits)

Protections

WAF

  • WAF = reverse proxy web = IPS Web : protège les serveurs
  • Le WAF fait la terminaison TLS.
  • Configuration très fine qui doit changer à chaque modification de l'application.
  • Apache Modsecurity
  • Nginx NAXSI

IX- Sauvegardes et journaux

Sauvegarde

Sauvegardes

  • Sauvegarde : permet de restaurer une donnée en cas de perte
  • Archivage : permet de sauvegarder un historique du SI

Choix d'un système de sauvegardes

  • Multi OS
  • Complète / Incrémentielle
  • Durée de rétention
  • Nombre de versions
  • Déduplication
  • Chiffrement

Gestion des journaux

Obligation légale de garder 1 an de logs d'accès

  • Multi OS
  • Rotation
  • Compression
  • Facilities
  • Loglevels

Restriction maximale des accès

  • Uniquement les administrateurs
  • Authentification double facteur

X- Développement sécurisé

Bonnes pratiques

  1. Valider les entrées à tous niveaux
  2. Utiliser les fonctions de sécurité incluent dans les librairies et les frameworks
  3. Utiliser des requêtes préparées
  4. Chiffrer (les transferts et les données)
  5. Prendre en compte la sécurité dans le cycle de vie
  6. Authentifier et gérer les droits
  7. Journaliser

Contraintes réglementaires (RGPD et autres)

  • Déclarer les bases de données personnelles à la CNIL
  • Prendre en compte la sécurité par défaut
  • Inclure le RSSI et le CIL dans tout projet
  • Chiffrer les données personnelles
  • Fournir une archives de données interopérables à la demande

XI- Gestion de la sécurité au quotidien

Gestion de la sécurité

Audit

Par qui, par rapport à quel référenciel ?

Motivation des audits : - Respect de la PSSI - exigence contractuelle - suite à une attaque

Test d'intrusion

Ce n'est pas un audit car il n'y a pas de référentiel.

  • Test en production.
  • Interne, externe, applicatif.
  • Attention à rester dans le cadre légal.

Outils de test d'intrusion

Scanners de sécurité : Généralistes ou spécialistes → Trouvent 45% des failles

  • Distributions Linux :
  • Kali
  • Backbox
  • Samurai (Web)

Supervision de la sécurité

  • Tableaux de bords TDBSSI
  • Veille techno
  • Tableaux de bord
  • SIEM : Logiciel de supervision de la sécurité
  • logs → SIEM → ioc (indicateurs de compromissions) + règles → alertes
  • corrélation d'évènements
  • OSSIM, ELK, Prelude
  • SOC : Centre opérationel de sécurité (grandes entreprises : processus, techniciens, …)
  • utilise un SIEM
  • PRIS : Prestataire de remédiation

Conclusion :

  • Aujourd'hui, les attaques sont industrialisées et ciblées
  • Il faut plutôt se concentrer sur les moyens de détection

  • Commencez par le guide d'hygiène de l'ANSSI