Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
1. Enjeux et évolutions de
la sécurité informatique
Maxime ALAY-EDDINE
Cyberwatch SAS - http://www.cyberwatch.fr
v1.1 - 19/03/2015
1
2. Faisons connaissance !
• Maxime ALAY-EDDINE
• 24 ans, Consultant SSI
• Président de Cyberwatch SAS
• 3 ans chez SAGEM (SAFRAN)
• 1 an chez SportinTown
• Commencé piratage à 12 ans
CYBERWATCH
2
3. - Gene Spafford (aka Spaf)
Expert SSI, membre du Cybersecurity Hall of Fame
The only truly secure system is one that is
powered off, cast in a block of concrete and
sealed in a lead-lined room with armed guards.
3
7. Plan
• Présentation générale
• Evolution des attaques
• Etude des attaques récentes
• Démonstration
• Les métiers de la cybersécurité
• Evolutions futures
technologiques et politiques
• Questions / Réponses
10. Sécurité des systèmes d’information ?
Le système d'information représente un patrimoine
essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les
ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu.
Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
12. Définition plus « concrète »… avec les mains
Disponibilité
Intégrité Confidentialité
Est-ce que mon
système fonctionne ?
Est-ce que mes
données sont bonnes ? Est-ce que mon
système est privé ?
44. Des menaces multiples… suite
Sécurité physique
Sécurité réseau
Sécurité des applications
Ingénierie sociale
…
45. Pour chaque menace, il y a une solution
Virus
Malware
IP Spoofing
Man-in-the-Middle
Injection SQL/XSS
Vulnérabilité
…
Anti-virus
Anti-malware
Anti Spoofing
Chiffrement
Filtrage
Scanner de vulnérabilités
…
49. You can't defend. You can't prevent. The
only thing you can do is detect and respond.
- Bruce Schneier
Expert SSI, Chuck Norris de la Cybersécurité
51. La bombe logique - 1982
• Opération créée par la CIA contre un pipeline russe
• Code malveillant permettant de faire exploser le pipeline,
sans explosif externe
• Les dégâts causés étaient visibles depuis l’espace
52. Kevin Mitnick - 1983
• Kevin Mitnick s’introduit sur le réseau du Pentagone
• S’introduit par « défi » technique
• Ne vole pas de données, conserve un sens éthique
• Travaille désormais comme consultant SSI
53. Morris - 1988
• Créé par Robert Tappan Morris (Cornell) en 1988
• Programme conçu pour se répliquer et se propager de
proche en proche (Ver / Worm)
• Problème : le ver a rencontré une erreur et a causé des
dommages sur les ordinateurs infectés.
• Plus de 6000 ordinateurs infectés, pour $100M
d’amende.
54. Jonathan James - 1999
• Pirate la Defense Threat Reduction Agency à 15 ans
• Récupère le code source d’un logiciel de la NASA utilisé
sur la Station Spatiale Internationale pour contrôler
l’environnement de vie des astronautes
55. MafiaBoy - 2000
• Michael Calce (aka MafiaBoy) réalise des attaques par
Déni de service distribué sur des majors
• Amazon, CNN, eBay, Yahoo! sont touchés
• Les dégâts sont évalués à plus de $1,2Mrds
56. Estonie - 2007
• L’Estonie subit une attaque majeure de Déni de service
suite au retrait d’un mémorial de guerre lié à la Russie.
• Les services gouvernementaux sont stoppés
• Les services techniques parviennent à remettre en ligne
progressivement les systèmes touchés
57. Google China - 2009
• Google China est victime d’une attaque majeure de la
part du gouvernement chinois
• Objectif : récupérer des données sur des activistes de la
lutte pour les droits de l’Homme
58. Israël - 2009
• 5.000.000 d’ordinateurs réalisent une attaque de Déni de
service distribué sur les sites gouvernementaux
israéliens.
• Ces attaques sont réalisées pendant l’offensive de
Janvier 2009 sur la bande de Gaza.
• L’origine des attaques semble être liée à un ancien état
soviétique et aux organisations type Hamas/Hezbollah.
59. La Cyber-armée iranienne - 2010
• Des militants iraniens attaquent Twitter et Baidu (Google
chinois).
• Les internautes sont redirigés vers une page pirate avec
un message politique.
60. StuxNet - 2010
• Virus de très haute expertise technique visant les
machines industrielles Siemens.
• Découvert en Iran et en Indonésie.
• Semble viser le programme nucléaire iranien.
61. Red October - 2012
• Kaspersky découvre un virus en activité depuis 2007
• Le virus a dérobé des informations confidentielles dans
des entités gouvernementales et des entreprises sur des
systèmes critiques.
• Utilise des vulnérabilités dans Word et Excel
62. Sony Pictures Entertainment - 2014
• Vol massif de données (films notamment)
• Les données ont été diffusées sur Internet
• Perte d’exploitation majeure pour l’entreprise, chiffrée à
plus de $100M
63. Constat
• Ces attaques évoluent et deviennent de plus en plus
élaborées (Morris -> StuxNet).
• Les plus connues concernent avant tout les grandes
entreprises et les gouvernements.
• Petit à petit, création d’un milieu « cybercriminel ».
64. Les pirates ne cherchent plus le défi
technique, mais la rentabilité économique ou
la diffusion d’idées politiques.
66. Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
67. Etude des solutions installées en entreprise
• Certaines menaces sont traitées de facto
• Les menaces les plus « techniques » sont encore
oubliées.
• Cas des vulnérabilités informatiques dites « connues ».
68. Rôle des autorités de SSI
• Autorités gouvernementales de la SSI
• 2 rôles majeurs : surveillance, information
69. Les vulnérabilités connues ou « historiques »
• Vulnérabilités publiées par les autorités (8000 en 2014)
• CERT : Computer Emergency Response Team
• Objectif : avertir les usagers des nouvelles failles pour se
protéger en temps réel
Heartbleed Shellshock
72. Résultat
• Cette liste constitue l’armurerie parfaite pour les pirates
• Les entreprises (en particulier les PME) sont encore trop
peu protégées contre ces vulnérabilités
• Il est maintenant plus intéressant pour les pirates
d’attaquer les PME que les grands groupes.
73. Source : Gartner
80% des attaques réussies utiliseront au moins
une vulnérabilité connue en 2015.
76. StuxNet - Cyberguerre entre Etats
• Virus créé par des organisations gouvernementales
• Très difficile à détecter, a grandement retardé le
programme nucléaire iranien, alors qu’il était cloisonné par
rapport à Internet.
• Réalisé via des intrusions réelles (vol de clés en entreprise).
• Leçon à tirer : si les moyens sont mis, n’importe quel
système peut être piraté.
77. Sony Pictures Entertainment - Cybercriminalité
• Attaque réalisée par des pirates pour voler des
informations
• L’attaque était basée sur des vulnérabilités connues
• Leçon à tirer : même les grandes entreprises sont
concernées par des failles « basiques » comme les
vulnérabilités historiques.
78. Daesh - Cyberterrorisme
• Attaque réalisée par des activistes liés à l’Etat Islamique,
contre des organisations gouvernementales.
• Très peu de dégâts causés, mais message politique passé et
relayé grâce aux médias.
• Anonymous a contre-attaqué en Mars 2015, en diffusant des
comptes Twitter liés à Daesh pour arrêter leurs propriétaires.
• Leçon à tirer : les guerres politiques se jouent désormais aussi
sur le cyberespace.
79. The true computer hackers follow a certain
set of ethics that forbids them to profit or
cause harm from their activities.
- Kevin Mitnick
Expert SSI, a figuré sur la Most-Wanted list du FBI
83. Consultant SSI
• Profil polyvalent
• Ingénieur, Bac +5 avec spécialité informatique
• Effectue des audits organisationnels
• Qualités : esprit de synthèse, bon contact
• Entreprises type : Solucom, HSC, Fidens
84. Pentester / Consultant technique
• Profil technique
• Ingénieur, Bac +5 avec spécialité informatique
• Effectue des audits techniques
• Qualités : expertise technique, esprit de synthèse
• Entreprises type : HSC, Cyberwatch, Abbana
85. Responsable de la Sécurité SI
• Profil polyvalent
• Ingénieur, Bac +5 avec spécialité informatique
• Gère la Sécurité SI d’une entreprise
• Qualités : gestion d’équipe, bon relationnel
• Entreprises type : N/A (internalisé)
87. Evolution globale de la sécurité
DétectionGuérison
Bruce Schneier au FIC 2015
Présent
88. Evolution globale de la sécurité
CorrectionDétectionGuérison
Bruce Schneier au FIC 2015
Présent
89. De la guérison à la prévention
• Guérison : suite à une attaque, opérations de remise en
service du système d’information.
• Détection : pendant une attaque, opérations de blocage
des tentatives d’intrusion.
• Correction : mise en place des barrières techniques lors
de chaque nouvelle menace, avant même que les pirates
ne puissent les exploiter.
90. Les technologies de protection deviennent de
plus en plus matures.
Nous passons d’une stratégie d’action en aval
à une stratégie d’action en amont.
91. Notre avis sur l’avenir ?
Des solutions de protection automatisées.
Pas de compétences techniques requises.
Protection clé en main économique.