Vulnérabilité et sécurité de systèmes informatiques et répression
Transcription
Vulnérabilité et sécurité de systèmes informatiques et répression
Cours CEES n° 07 – Mr Naulleau – 18 Novembre 2003 Vulnérabilité des systèmes informatiques Causes, parades et conséquences Introduction • • • • • • • Sensibilisation des informaticiens et utilisateurs aux divers risques informatiques et aux conséquences Bogue de l'an 2000 (Y2K) : − Centre national du passage à l'an 2000 : www.an2000.gouv.fr − Hiérarchiser les risques, dépenses de 120 milliards de francs. Serge Humpich / GIE carte banquaire (Yescard en mode local) − Faille dans le système de sécurité des cartes banquaires − Capable de leurrer les DAB avec n'importe quel code secret MP3.com, alt.2600 : pirates donnant le système de décryptage DVD Tempêtes décembre 1999 arrêt en chaîne des divers réseaux après EDF Saturation d'AOL, Yahoo, e.Bay, Amazon.com par des hackers. ... I – Vulnérabilité des systèmes informatiques, parades A. chiffres • • • • • • • • • • • • • • • • • • • • • • • Dernières évaluations du CLUSIF (1996) : 13 milliards de francs (1% du budget de l'Etat), 38.000 sinistres : malveillances, risques accidentels, erreurs En augmentation de 5% par an Selon le FBI, 1% des crimes sont détectés et 7% sont déclarés 85% des crimes sont commis par des informaticiens 46% des crimes viennent des services informatiques un hold-up rapporte 10.000 $, un crime informatique rapporte 450.000$ budget informatique entre 1 et 10% de celui des entreprises, et seulement 3% du budget informatique pour la sécurité. B. Exemples 1 million de francs volés avec de fausses cartes de crédit en 1986 un scanner médical déréglé : 3 morts en Espagne en 1990 SOCRATE (SNCF) : des trains virtuels en 1993 Perruque dans les services (éternel !) = utilisation des ressources entreprises pour son comptes personnel Accident d'un Airbus au Mont St Odile causé par l'ambiguïté d'un indicateur de pente en 1992 Pentium : défauts de fabrication en 1995 Création du SEFTI à la Police Judiciaire contre la fraude informatique EDF : prélèvements de 26 964.48 francs pour un studio en 1995 Clipper imposé et PGP interdit pour cryptage sur Internet en 1995 Kevin Mitnick traqué pendant deux ans pour hacking Crédit Lyonnais : incendie du centre informatique en 1996 Chantage à la diffusion sur le Net par pirate de 25.000 numéros de cartes bancaires volées chez CD Universe, chantage à 100.000 $ en 1999 24/4/2002 : AG Vivendi, contestation des votes électroniques (20% d'abstention) 25/11/2002 : 30.000 victimes à la carte bancaire, usurpation d'identité, complice revendant 50$ les données de clients et codes, 2 ans, 2,7 millions de $ Friends Greetings Application, marketing viral, exploite carnet d'adresse SPAM, pourriel • • • • • • • • • • • • 21/10/2002 : attaque en déni de service contre noms de domaines. Cyberterrorisme ou action de guerre n'est pas loin utilisation de Wifi non sécurisé : usurpation, captation, brouillage, déni 9/2002 : copie via vidéo et lecteur de cartes bancaires pour fausses CB C. Virus Mars 1986 : Révélés à Securicom Mai 1986 : Réseau SPAN de la NASA attaqué par la CAOS Décembre 1987 : Par Mag Mac, en quelques jours 2000 disquettes devaient survivre jusqu'au 2 Mars 1988 en affichant un message de pub et d'anniversaire avant de s'autodétruire Décembre 1987 : Arbre de Noël sur EARN 13 janvier 1988 : Université Hébraïque de Jérusalem Novembre 1988 : UFR d'Informatique de Paris 6 Novembre 1988 : Réseau Internet des USA pour la recherche 1989 : URSS Février 2003 : Virus sur des serveurs 50.000 virus recensés en 2000 D. 4 risques de vulnérabilité RISQUES de : • Copiage sans modifications • Modification • Interruption du service • Destruction E. 7 sources de vulnérabilité • • • • • • • Environnement Matériel Logiciel Fichier Réseau Terminal HOMME PROTECTION de la : • Confidentialité • Intégrité • Disponibilité • Pérennité Risque de... Protéger la... Copiage Confidentialité Modification Intégrité Interruption Destruction Parades Environnement Matériel Logiciel Fichier Réseau Terminal Homme Espionnage Reverse engineering Piratage Espionnage Ecoutes (NSA Echelon) Ecoute (signaux écrans) Piratage Espionnage Micro coupures Parasites Défauts Virus Pb de MaJ. Vol par usurpation Parasites Carte bancaire Hacker Rumeurs Votes Continuité Electricité poussières IEM Bogue Bogue Panne Panne Négligence Grève Pérennité Foudre Incendie Inondation Vol Virus Vol Virus Vol Destruction Alimentations Filtres Site de secours Onduleurs Fibre optique Test Blindage Sauvegarde sur autre support Loi du 1/7/92 Sauvegarde Antivirus Preuve prg Loi du 22/7/92 Sauvegarde Double saisie Accès protégé Cryptage Code autocorrectif Blindage Maillage Sabotage Accès protégé Blindage écran Contrôles Lois Bunker • • • • • • • • • • F. Parades Préventives : doivent diminuer la probabilité des menaces pour empêcher leur réalisation par des mesures de protection. Exemple : codage, bunker, maintenance Palliatives : si malgré tout la menace se réalise, permettent de soustraire les biens par des mesures d'urgence. Exemple : extincteurs, sprinklers Curatives : si on n'a pas pu soustraire les biens permettent de minimiser les conséquences par des mesures de sauvegarde. Exemple : back up, procès G. Explications/ motivations des causes humaines Négligence Fatigue Drogue Sport Malveillance Politique Lucre : − Espion industriel − Espion étranger − Voleur − Fraudeur du fisc − Maître chanteur − Vengeance − Hacker − Grève, panne social − Saboteur, vandale, terroriste Technodélinquance, cybercriminel II – Sécurité des systèmes informatiques • • • • • • • Protections techniques dont cryptographie Protections juridiques Assurances (dont perte d'exploitation et reconstitution des fichiers) Loi du 6 janvier 1978 : article 29 et 43 alinéa 2 Recommandation de la CNIL du 21 juillet 1981 er Loi sur la protection juridique du 1 juillet 1992 (ex 3 juillet 1985) Loi sur la fraude informatique du 22 juillet 1992 (ex 5 janvier 1988) A. Cryptographie • Transposition : CRYPTO CTRPOY • Décalage à clef : avec N = 3 FUBSWR Plus sophistiqué : • DES (Data Encryption Standard) : une clef secrète connue de A et B : M K(M) • RSA (Rivest, Shamir, Adelman) : deux clefs E (clef publique) pour enchiffrer ou encoder D (clef privée) pour déchiffrer ou décoder La factorisation est quasi impossible pour les très grand nombres. n = pq avec p et q premier et ayant par exemple 40 chiffres. − Préservation d'un secret : clés du destinataire = B M → E B → E B ( M ) → DB → M A B publique privée car M = D B ( E B ( M )) − − Authentification : clés de l'émetteur = A M → D A → D A (M ) → E A → M A B privée publique car M = E A ( D A ( M )) Secret et identification : clés de A et B M → D A → E B ( D A (M ) → DB → E A car M = E A ( D A ( M )) = E A ( D B ( E B ( D A ( M )))) B. audit sécurité But : fait l'état de la situation : − Quels sont les risques ? − Quelles pertes maximales l'entreprise peut-elle supporter ? − Quel est le niveau de la sécurité actuelle ? − Quelles sont les contraintes de l'entreprise ? − Quel est alors le choix des moyens ? Etude : tests, essais, effractions réelles, entretiens Auditionner : − − − − − L'organisation informatique Un centre de traitement Un service d'étude Le développement d'une application Une application Méthodes : implantées sur micro : AROME, MELISA, MEHARI ... C. Plan sécurité Ingénieur sécurité, responsable sécurité Moyens : − − − − − De prévention, de protection Des modifications de l'organisation Des procédures de secours Des dépenses De la formation Mais : prix de la sécurité et normes ! Trouver un optimum entre le coût de la sécurité et le coût de l'insécurité C. Bonnes pratiques avec un micro • • • • • • • • • • • • • Faire des sauvegardes régulières, na pas les conserver à côté de la machine Soigner l'alimentation électrique (régulée, stabilisée, batterie, onduleur...) Loin des fenêtres (ergonomie) Ne pas manger ni boire près d'une machine Installer un antivirus et le tenir à jour Préférer parfois une vieille version d'un logiciel à une récente Faire une bonne gestion des bons mots de passe Protéger ses mots de passe : na pas les afficher ni les distribuer largement Ne pas ouvrir des fichiers attachés suspects Pas Internet pour les messages d'importance / Intranet / Internet / Firewall Se méfier de la télémaintenance Avoir un plan de secours, votre back up Vous vous devez de protéger ce qui est confidentiel et ce qui est vital pour ... III – Vulnérabilité pour la société • Intégration de + en + de fonction d'où Complexification • • • Interconnexion de système d'où interdépendance Concentration des décisions d'où incohérence Erreurs de conception ergonomiques A. Pour les individus • • • • • Stress face aux pannes, micros pannes, aux "flux tendus" Multiplication des contrôles d'identification Nos libertés (de circuler, communiquer, acheter, être citoyen,...) de plus en plus liées aux technologies Perversité par fausse impression de sécurité Exclusions des analphabètes de l'informatique (société duale) B. Pour les entreprises • • • Pertes financières et d'image (crédibilité) Fragilisation de l'organisation (75% se sentent dépendantes de l'informatique dans les entreprises de + 200 employés) Automatisation des décision : déresponsabilisation − Non maîtrise des logiciels − Virtualisation des processus de fabrication C. Pour la société • • • • • • • • • Dépendances technologiques par la concentration des productions Concentrations économiques Espionnage et risque de sabotage Accélération des prises de décision Vote électronique : quelle garantie ? Quels risques acceptons-nous ? Quelles dépendances acceptons-nous ? Disproportions entre causes et effets Panne nous est intolérable Développement d'une nouvelle vulnérabilité Choisir des solutions : + Simples + Intrinsèquement sûres + Non mégalomaniaques, non prétentieuses + Se méfier des boîtes noires prétendument indépendantes IV – Conclusion La sécurité doit être pensée dès le départ (comme dans les voitures) Pas d'arrogance de la technique "La panne est consubtancielle à la complexité" (Yves Lasfargue) "De la société de la peine à celle de la panne" "Un colosse aux pieds d'argile"