Menaces du Cyber Espace
Transcription
Menaces du Cyber Espace
Menaces du Cyber Espace Conférence 02-04-2014 David WARNENT Police Judiciaire Fédérale Namur Regional Computer Crime Unit Faits Divers Tendances • Social Engineering • Hacktivisme – Anonymous et assimilés • Extorsions • Criminalité organisée – Utilisation des compétences de hackers par les organisations criminelles Menaces • Types : – Hacking Centrales téléphoniques • Mauvaise protection (contrat de maintenance) • Password initial inchangé • Etc – Buts (impacts sur la société ou des tiers) : • Téléphoner à l’étranger « gratuitement » (Soc : Fin) • Téléphoner à des numéros surtaxés (Soc : Fin) • Se faire passer pour la société en question en passant et réceptionnant (filtrant) tous les appels (Soc et Tiers : Image et Fin) – Hacking Serveur : • Ransomware avec encryption (Impact Soc : Fin) – Serveur hacké et données encryptées – Désencryption si paiement d’une rançon • Extorsion suite au vol de données (Impact Soc : Image et Fin) – Hacking et vol de données (privées ou de la société) – Menace de publication sur Internet si non paiement d’une rançon • Utilisation du serveur pour (Impact pour Tiers) : – Stockage de données illégales (pédo, films pirates, etc) – Hébergement de sites de Phishing – Faire partie d’un Botnet et participer à des attaques − Attaques type DoS • En tant que victime – – • En tant qu’« auteur » – • Utilisation de l’infrastructure pour commettre les attaques en question Modus Operandi – – • Victime d’une attaque Infrastructure visée pour différents motifs: » Politique et stratégique » Hacktivisme (Anonymous) » Autre Botnet Outils « individuels » et automatisés présents sur Internet But : – – – – Rendre outil indisponible Représailles Perte financière Atteinte à l’image publique Causes • « Infrastructure » : – Mise à jour des logiciels (Failles publiées sur Google) – – – – Antivirus obsolètes ou absents Firewall mal configurés ou pas du tout Programmes non patchés ou obsolète (OS, Java, etc) Utilisation de programmes / plateformes propres obsolètes » Mauvaise programmation initiale » Programmeur plus présent pour mettre à jour » Service impossible à interrompre » Etc – Configuration du réseau – Mauvaise configuration de l’infrastructure – Wifi ouvert connecté au réseau interne – Passerelles ou ports non sécurisés – Monitoring défaillant ou absent – Mauvaises règles implémentées – IDS – Etc – Sécurité physique de l’infrastructure – Accès – etc • Social Engineering • Utilisation des informations présentes sur le site web – Mails – Téléphones – Trop d’informations sensibles en général : » Fonctionnement de la société » etc • Utilisation des informations obtenues par la société – – – – Par téléphone Par stagiaire Par employés Etc • Perte ou vol de devices contenant des données sensibles – – – – Laptop Clés USB Smartphones etc • Malware • Ouverture de mails « suspects » sans précautions – Spams – Origine douteuse – Etc • Comportement sur Internet – Sites web visités » Clicks intempestifs » Sites web malicieux – Téléchargements de fichiers et installations de programmes exotiques – Etc • Infection par support externe (clé USB, etc) – Cadeaux de représentation (clés USB) – Supports privés – Laptops privés connectés au réseau • Hacking afin de placer des malwares sur le serveur – Malware spécifique à l’environnement (attaque ciblée) – Malware générique Découverte • Audit de sécurité – suite à un problème généralement – Rarement préventif • Monitoring permanent : – Rarement le cas • Par « hasard » : – Backup ou routine défaillant – Prévenu par un tiers • • • • • CERT Police Victime White Hacker – Grey Hacker Etc Réaction • Préservation des Traces : – – – – Freezer l’instant : pas réinstaller de suite si possible Isoler les machines impliquées Memory dumps de ces machines Conserver les logs au maximum (depuis le fait) : • • • Serveurs, Firewall, etc Au format « ouvert » non propriétaire non filtrés – Historique des logs aussi – Garder une main-courante des actions entreprises • Schéma de l’infrastructure récent et effectif • Prévenir la police – Loi sur la vie privée (responsabilité propre de la Soc) – Code pénal (si infra utilisée pour une attaque : « complice ») • Sécurisation de l’infrastructure a posteriori Organisation Police Police Judiciaire Fédérale PJF DJF PJF Namur FCCU Source d’informations : http://www.securiteprovincenamur.be/secu_police_1.php http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php RCCU Namur • FCCU (Service central) : – Permanence nationale (Nuits et WE) • RCCU Namur (Arrondissement de Namur) – Effectif : 7 personnes – Mission : – Lutte contre la criminalité informatique grave et organisée – Appui à toute forme de lutte contre la criminalité – Objectifs – Récupérer et exploiter les traces – Identifier l’auteur – Faire cesser l’infraction Contact Regional Computer Crime Unit Namur Téléphone : +32 81 24 22 71 Mail : [email protected]