Vulnérabilité et sécurité de systèmes informatiques et répression

Cours CEES n° 07 – Mr Naulleau – 18 Novembre 2003
Vulnérabilité des systèmes informatiques
Causes, parades et conséquences
Introduction
•
•
•
•
•
•
•
Sensibilisation des informaticiens et utilisateurs aux divers risques informatiques et aux
conséquences
Bogue de l'an 2000 (Y2K) :
− Centre national du passage à l'an 2000 : www.an2000.gouv.fr
− Hiérarchiser les risques, dépenses de 120 milliards de francs.
Serge Humpich / GIE carte banquaire (Yescard en mode local)
− Faille dans le système de sécurité des cartes banquaires
− Capable de leurrer les DAB avec n'importe quel code secret
MP3.com, alt.2600 : pirates donnant le système de décryptage DVD
Tempêtes décembre 1999 arrêt en chaîne des divers réseaux après EDF
Saturation d'AOL, Yahoo, e.Bay, Amazon.com par des hackers.
...
I – Vulnérabilité des systèmes informatiques, parades
A. chiffres
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Dernières évaluations du CLUSIF (1996) : 13 milliards de francs (1% du budget de l'Etat), 38.000
sinistres : malveillances, risques accidentels, erreurs
En augmentation de 5% par an
Selon le FBI, 1% des crimes sont détectés et 7% sont déclarés
85% des crimes sont commis par des informaticiens
46% des crimes viennent des services informatiques
un hold-up rapporte 10.000 $, un crime informatique rapporte 450.000$
budget informatique entre 1 et 10% de celui des entreprises, et seulement 3% du budget
informatique pour la sécurité.
B. Exemples
1 million de francs volés avec de fausses cartes de crédit en 1986
un scanner médical déréglé : 3 morts en Espagne en 1990
SOCRATE (SNCF) : des trains virtuels en 1993
Perruque dans les services (éternel !) = utilisation des ressources entreprises pour son comptes
personnel
Accident d'un Airbus au Mont St Odile causé par l'ambiguïté d'un indicateur de pente en 1992
Pentium : défauts de fabrication en 1995
Création du SEFTI à la Police Judiciaire contre la fraude informatique
EDF : prélèvements de 26 964.48 francs pour un studio en 1995
Clipper imposé et PGP interdit pour cryptage sur Internet en 1995
Kevin Mitnick traqué pendant deux ans pour hacking
Crédit Lyonnais : incendie du centre informatique en 1996
Chantage à la diffusion sur le Net par pirate de 25.000 numéros de cartes bancaires volées chez
CD Universe, chantage à 100.000 $ en 1999
24/4/2002 : AG Vivendi, contestation des votes électroniques (20% d'abstention)
25/11/2002 : 30.000 victimes à la carte bancaire, usurpation d'identité, complice revendant 50$ les
données de clients et codes, 2 ans, 2,7 millions de $
Friends Greetings Application, marketing viral, exploite carnet d'adresse
SPAM, pourriel
•
•
•
•
•
•
•
•
•
•
•
•
21/10/2002 : attaque en déni de service contre noms de domaines. Cyberterrorisme ou action de
guerre n'est pas loin
utilisation de Wifi non sécurisé : usurpation, captation, brouillage, déni
9/2002 : copie via vidéo et lecteur de cartes bancaires pour fausses CB
C. Virus
Mars 1986 : Révélés à Securicom
Mai 1986 : Réseau SPAN de la NASA attaqué par la CAOS
Décembre 1987 : Par Mag Mac, en quelques jours 2000 disquettes devaient survivre jusqu'au 2
Mars 1988 en affichant un message de pub et d'anniversaire avant de s'autodétruire
Décembre 1987 : Arbre de Noël sur EARN
13 janvier 1988 : Université Hébraïque de Jérusalem
Novembre 1988 : UFR d'Informatique de Paris 6
Novembre 1988 : Réseau Internet des USA pour la recherche
1989 : URSS
Février 2003 : Virus sur des serveurs
50.000 virus recensés en 2000
D. 4 risques de vulnérabilité
RISQUES de :
• Copiage sans modifications
• Modification
• Interruption du service
• Destruction
E. 7 sources de vulnérabilité
•
•
•
•
•
•
•
Environnement
Matériel
Logiciel
Fichier
Réseau
Terminal
HOMME
PROTECTION de la :
• Confidentialité
• Intégrité
• Disponibilité
• Pérennité
Risque de...
Protéger la...
Copiage
Confidentialité
Modification
Intégrité
Interruption
Destruction
Parades
Environnement
Matériel
Logiciel
Fichier
Réseau
Terminal
Homme
Espionnage
Reverse
engineering
Piratage
Espionnage
Ecoutes
(NSA
Echelon)
Ecoute
(signaux
écrans)
Piratage
Espionnage
Micro coupures
Parasites
Défauts
Virus
Pb de MaJ.
Vol par
usurpation
Parasites
Carte
bancaire
Hacker
Rumeurs
Votes
Continuité
Electricité
poussières
IEM
Bogue
Bogue
Panne
Panne
Négligence
Grève
Pérennité
Foudre
Incendie
Inondation
Vol
Virus
Vol
Virus
Vol
Destruction
Alimentations
Filtres
Site de secours
Onduleurs
Fibre optique
Test
Blindage
Sauvegarde sur
autre support
Loi du 1/7/92
Sauvegarde
Antivirus
Preuve prg
Loi du 22/7/92
Sauvegarde
Double saisie
Accès protégé
Cryptage
Code
autocorrectif
Blindage
Maillage
Sabotage
Accès protégé
Blindage
écran
Contrôles
Lois
Bunker
•
•
•
•
•
•
•
•
•
•
F. Parades
Préventives : doivent diminuer la probabilité des menaces pour empêcher leur réalisation par des
mesures de protection. Exemple : codage, bunker, maintenance
Palliatives : si malgré tout la menace se réalise, permettent de soustraire les biens par des
mesures d'urgence. Exemple : extincteurs, sprinklers
Curatives : si on n'a pas pu soustraire les biens permettent de minimiser les conséquences par
des mesures de sauvegarde. Exemple : back up, procès
G. Explications/ motivations des causes humaines
Négligence
Fatigue
Drogue
Sport
Malveillance
Politique
Lucre :
− Espion industriel
− Espion étranger
− Voleur
− Fraudeur du fisc
− Maître chanteur
− Vengeance
− Hacker
− Grève, panne social
− Saboteur, vandale, terroriste
Technodélinquance, cybercriminel
II – Sécurité des systèmes informatiques
•
•
•
•
•
•
•
Protections techniques dont cryptographie
Protections juridiques
Assurances (dont perte d'exploitation et reconstitution des fichiers)
Loi du 6 janvier 1978 : article 29 et 43 alinéa 2
Recommandation de la CNIL du 21 juillet 1981
er
Loi sur la protection juridique du 1 juillet 1992 (ex 3 juillet 1985)
Loi sur la fraude informatique du 22 juillet 1992 (ex 5 janvier 1988)
A. Cryptographie
• Transposition : CRYPTO
CTRPOY
• Décalage à clef : avec N = 3
FUBSWR
Plus sophistiqué :
• DES (Data Encryption Standard) : une clef secrète connue de A et B : M
K(M)
• RSA (Rivest, Shamir, Adelman) : deux clefs
E (clef publique) pour enchiffrer ou encoder
D (clef privée) pour déchiffrer ou décoder
La factorisation est quasi impossible pour les très grand nombres. n = pq avec p et q premier et
ayant par exemple 40 chiffres.
− Préservation d'un secret : clés du destinataire = B
M → E B → E B ( M ) → DB → M
A
B
publique
privée
car M = D B ( E B ( M ))
−
−
Authentification : clés de l'émetteur = A
M → D A → D A (M ) → E A → M
A
B
privée
publique
car M = E A ( D A ( M ))
Secret et identification : clés de A et B
M → D A → E B ( D A (M ) → DB → E A
car M = E A ( D A ( M )) = E A ( D B ( E B ( D A ( M ))))
B. audit sécurité
But : fait l'état de la situation :
− Quels sont les risques ?
− Quelles pertes maximales l'entreprise peut-elle supporter ?
− Quel est le niveau de la sécurité actuelle ?
− Quelles sont les contraintes de l'entreprise ?
− Quel est alors le choix des moyens ?
Etude : tests, essais, effractions réelles, entretiens
Auditionner :
−
−
−
−
−
L'organisation informatique
Un centre de traitement
Un service d'étude
Le développement d'une application
Une application
Méthodes : implantées sur micro : AROME, MELISA, MEHARI ...
C. Plan sécurité
Ingénieur sécurité, responsable sécurité
Moyens :
−
−
−
−
−
De prévention, de protection
Des modifications de l'organisation
Des procédures de secours
Des dépenses
De la formation
Mais : prix de la sécurité et normes !
Trouver un optimum entre le coût de la sécurité et le coût de l'insécurité
C. Bonnes pratiques avec un micro
•
•
•
•
•
•
•
•
•
•
•
•
•
Faire des sauvegardes régulières, na pas les conserver à côté de la machine
Soigner l'alimentation électrique (régulée, stabilisée, batterie, onduleur...)
Loin des fenêtres (ergonomie)
Ne pas manger ni boire près d'une machine
Installer un antivirus et le tenir à jour
Préférer parfois une vieille version d'un logiciel à une récente
Faire une bonne gestion des bons mots de passe
Protéger ses mots de passe : na pas les afficher ni les distribuer largement
Ne pas ouvrir des fichiers attachés suspects
Pas Internet pour les messages d'importance / Intranet / Internet / Firewall
Se méfier de la télémaintenance
Avoir un plan de secours, votre back up
Vous vous devez de protéger ce qui est confidentiel et ce qui est vital pour ...
III – Vulnérabilité pour la société
•
Intégration de + en + de fonction d'où Complexification
•
•
•
Interconnexion de système d'où interdépendance
Concentration des décisions d'où incohérence
Erreurs de conception ergonomiques
A. Pour les individus
•
•
•
•
•
Stress face aux pannes, micros pannes, aux "flux tendus"
Multiplication des contrôles d'identification
Nos libertés (de circuler, communiquer, acheter, être citoyen,...) de plus en plus liées aux
technologies
Perversité par fausse impression de sécurité
Exclusions des analphabètes de l'informatique (société duale)
B. Pour les entreprises
•
•
•
Pertes financières et d'image (crédibilité)
Fragilisation de l'organisation (75% se sentent dépendantes de l'informatique dans les entreprises
de + 200 employés)
Automatisation des décision : déresponsabilisation
− Non maîtrise des logiciels
− Virtualisation des processus de fabrication
C. Pour la société
•
•
•
•
•
•
•
•
•
Dépendances technologiques par la concentration des productions
Concentrations économiques
Espionnage et risque de sabotage
Accélération des prises de décision
Vote électronique : quelle garantie ?
Quels risques acceptons-nous ?
Quelles dépendances acceptons-nous ?
Disproportions entre causes et effets
Panne nous est intolérable
Développement d'une nouvelle vulnérabilité
Choisir des solutions :
+ Simples
+ Intrinsèquement sûres
+ Non mégalomaniaques, non prétentieuses
+ Se méfier des boîtes noires prétendument indépendantes
IV – Conclusion
La sécurité doit être pensée dès le départ (comme dans les voitures)
Pas d'arrogance de la technique
"La panne est consubtancielle à la complexité" (Yves Lasfargue)
"De la société de la peine à celle de la panne"
"Un colosse aux pieds d'argile"