Vigilance pour internet et les systèmes d`information

Transcription

Vigilance pour internet et les systèmes d`information
Vigi@net
MINISTÈRE DE L’ÉDUCATION NATIONALE,
DE L’ENSEIGNEMENT SUPÉRIEUR ET
ET DE LA RECHERCHE
Vigilance pour internet et les systèmes d’information
La lettre SSI du Haut Fonctionnaire de Défense et de sécurité
Responsable de la Publication :
Frédéric Guin
Comité de rédaction :
Frédéric Morinière
Josiane Guilhot-Mahler
Benoît Moreau
Jérôme Chausson
Janvier 2016
Contacts :
[email protected]
[email protected]
Pour recevoir Vigi@net régulièrement :
Abonnement
Retrouvez vigi@net sur le portail du ministère :
https://www.pleiade.education.fr
(nécessite une authentification)
Pour ne plus recevoir Vigi@net :
Désabonnement
Les médias, les constructeurs, les éditeurs, les systèmes embarqués des avions, les jouets, les centrales électriques ... et les sociétés de sécurité informatique elles-mêmes ont été piratés. L’année 2015 confirme que l’ensemble des systèmes sans exception
sont attaqués, que tout le monde peut en être victime, directement en tant qu’exploitant ou indirectement comme client.
La cyber sécurité est un enjeu majeur pour chacun mais elle doit être prise en compte par tous pour être efficace.
2016 est l’occasion pour les acteurs des systèmes d’information de relever le défi de réussir à y travailler ensemble.
Retour sur 2015
Janvier 2015 (source principale ITespresso)
Juillet 2015

L’Armée électronique syrienne a pris le contrôle du compte
Twitter du journal Le Monde pendant plusieurs heures.


Le site Internet du ministère de la Défense a été rendu inaccessible pendant plusieurs heures suite à une attaque par
déni de service distribué (DDoS), conduite au nom de Rémi
Fraisse.
Suite au piratage du site de rencontres extraconjugales
AshleyMadison.com, les informations de 32 millions d'inscrits sont publiées entrainant des tentatives d'extorsion et
au moins un suicide.

La société Hacking Team proposant des outils et services
d'espionnage aux états et grands groupes a été piratée. La
liste des clients et les failles non corrigées ont été révélées.
Il a été montré que l'outil vendu contenait aussi une porte
dérobée au détriment des clients.

La banque cantonale de Genève a vu 30 000 messages
échangés avec ses clients publiés en ligne.
Février 2015

Des pirates accèdent aux informations personnelles de 80
millions de clients de l'assurance santé américaine Anthem.
Août 2015


L'éditeur d'antivirus Bitdefender a été piraté, des données
de clients ont été dérobées.
Il est révélé que la NSA a piraté le groupe Gemalto et a déroOctobre 2015
bé des clés de chiffrement de millions de cartes SIM afin de
faciliter les écoutes.
 Les données personnelles de 15 millions de clients de l'opérateur américain T-Mobile US ont été volées.
Avril 2015


La chaîne publique TV5 Monde est victime du piratage de ses Novembre 2015
comptes sur les réseaux sociaux et de ses onze canaux de
 Bouygues Télécom laisse accessible via Internet une applicadiffusion.
tion permettant de trouver les adresses postales correspondant aux numéros de téléphone. (Zataz)
Le groupe de défense Thales est victime d’une infection en
place depuis plusieurs mois.
Mai 2015

Décembre 2015

Le fabricant de jouets électroniques VTech a été piraté. Les
données personnelles (photos, etc.. ) associées aux comptes
de 6 millions de parents et 5 millions d'enfants ont été dérobées.

Le site de la BBC a été mis hors ligne pendant quelques
heures suite à une attaque en déni de service. Elle a été revendiquée par des opposants à Daesh qui officiellement ne
faisaient que tester leurs outils. (Zdnet)

Une cyber attaque ciblant des centrales électriques aurait
entrainée des coupures de courant dans une région de
l'Ukraine. (Le Monde, NextInpact)
Un expert en sécurité interagit avec les systèmes d'un avion,
en plein vol et depuis son siège.
Juin 2015

Suite à une attaque contre ses systèmes d'information, une
compagnie aérienne polonaise est contrainte d'annuler une
vingtaine de vols.

Des experts font la démonstration du piratage à distance
d’une voiture connectée en circulation.
Zéro-day, de quoi s’agit-il ?
Un zéro-day est une vulnérabilité, aussi appelée fragilité ou faille, qui consiste à pouvoir stimuler un programme
de façon particulière afin de provoquer un comportement non prévu.
Par comparaison, mettre du sable dans le réservoir à essence d’une voiture ou des clous sur la route permet de provoquer un
comportement non prévu par le constructeur, la panne. Ce sont deux vulnérabilités de la voiture.
De la même façon, transmettre des données spécifiques à une application peut entrainer un comportement non
prévu par l’éditeur. Il est intéressant pour les attaquants de pouvoir interrompre le bon fonctionnement d’un programme, par exemple pour perturber une entreprise ou la menacer et lui extorquer de l’argent. Mais dans bien
des cas il est encore plus intéressant de prendre le contrôle des systèmes afin de détourner des fonds, voler des
secrets industriels, casser des équipements industriels (…)
Sur certains anciens modèles de voiture, il y avait une sécurité qui déverrouillait les portes en cas de choc frontal pour pe rmettre aux passagers de sortir. Des voleurs ont détourné cette fonctionnalité à leur avantage, ils leur suffisaient de taper suffisamment fort sur le pare chocs avant pour ouvrir les portières. Utiliser cette vulnérabilité donne accès sans rien casser.
Une fois qu’une vulnérabilité est officiellement connue, elle est normalement corrigée ou rendue inutilisable par
une protection supplémentaire.
Les trappes à essence des voitures sont verrouillées, les routes sont régulièrement nettoyées et il existe mêmes des roues increvables pour les véhicules les plus sensibles.
Le nombre de jour entre l’apparition d’une vulnérabilité et son traitement est un indicateur de sécurité, plus il est
bas, mieux c’est. Le terme zéro-day fait référence à ce nombre, le « zéro » signifiant que le compteur n’a pas commencé, c’est-à-dire que la vulnérabilité n’est pas officiellement connue et qu’il n’y a donc pas de correctif disponible. Un zéro-day est une vulnérabilité uniquement connue des attaquants.
Tant que les malfrats étaient les seuls à savoir qu’il suffisait de taper l’avant d’une voiture pour l’ouvrir et que le constructeur
ne pouvait pas corriger la fragilité, il s’agissait d’un zéro-day.
Connaitre un zéro-day permet à coup sur de réussir une attaque, de faire de l’espionnage, voire de prendre le contrôle d’infrastructures, et cela tant que la vulnérabilité n’est pas dévoilée. Pour cela ils sont très recherchés par
tous les belligérants des cyber conflits, qu’ils soient des États, des grands groupes ou des groupuscules terroristes
prêts à payer une fortune.
Comme toujours, s’il y a des acheteurs, un marché se crée avec des cours d’achat, des places de revente, des sociétés spécialisées dans la commercialisation et des producteurs. Qu’ils soient chercheurs, freelances ou intégrés à
une structure, la découverte de ces zéro-day repose toujours sur un travail d’expert qui creuse dans les codes à la
recherche de ces perles rares, et la motivation est grande. À titre d’exemple, une société de revente à récemment
offert 1 million de dollars à celui qui apporterait une vulnérabilité inconnue sur les produits Apple.
Une fois un zéro-day dévoilé, il devient une vulnérabilité connue et reprise dans tous les virus et autres programmes malveillants ciblant le grand public, jusqu’à ce qu’elle soit corrigée et que les logiciels soient mis à jour.
(Silicon.fr 22/04/15, lemonde.fr 23/09/15, Libération.fr 05/11/15)
La multiplication des virus « communs » découle notamment de la dynamisation de la recherche de zéro-day
par des enjeux stratégiques internationaux. Pour cela, il est indispensable d’organiser la mise à jour régulière
des systèmes et de mettre en place une défense en profondeur.
Gouv.fr
La plateforme de signalement de contenus illicites, Pharos (www.internet-signalement.gouv.fr), a vu son utilisation
croître exponentiellement depuis les attentats du 7 janvier 2015. Elle permet notamment de signaler aux autorités
l’apologie du terrorisme sur Internet et les réseaux sociaux, mais doit être utilisée pour tout contenu suspecté
comme illicite. (Gouvernement.fr ) Accéder à la plateforme Pharos.
Un rapport sénatorial préconise une plus grande autonomie pour l’agence nationale de la sécurité des systèmes
d’informations (ANSSI) qui porte un nombre important et croissant de missions alors que les progrès opérationnels sont limités, notamment par une prise en compte hétérogène des enjeux par les ministères. (LeMagIT
11/12/15, ZDNet 02/12/15)
L’agence nationale de la sécurité des systèmes d’informations (ANSSI) utilise le « mot dièse » #CyberVigilant depuis son compte Tweeter (@ANSSI_FR) pour diffuser ses bonnes pratiques. (ssi.gouv.fr)

Documents pareils