Legal IT 2010 : RISQUES INFORMATIQUES ET MÉTHODES DE

RISQUES INFORMATIQUES ET MÉTHODES DE PROTECTION
Charles Demers-Tremblay, CISSP, CEH, CDFT, S+
Les Technologies Wolf inc.
26-04-2010
Introduction
•
•
•
•
Charles Demers‐Tremblay
Je ne suis pas recherché par la police ☺
Hacker éthique, contre‐menaces
Spécialités : Tests d’intrusions, enquêtes électroniques
Hacking 101
Hacking 101
• Motivations ?
• Mandats, défis, « hack » tivisme, recherches, terrorisme (mafia)…$$$
• 3 types de hacker :
• White hat, gray hat, black hat
• Vous voulez‐en voir ?
Techniques d’intrusions
• Pourriels (spam) et Hameçonnage (phishing)
•
Comment se protéger : filtre anti‐pourriels, et anti‐phishing (http://www.dslreports.com/phishtrack), vigilance (ne jamais répondre)
Techniques d’intrusions
• Failles de sécurité
•
Les failles d’une composante ou d’un groupe de composantes peuvent être exploitées de façon malveillante.
•
Slammer ?
•
Exemple: (17 septembre 2007)
–
•
Exemple : ( 6 avril 2010)
–
•
Le courtier en ligne TD Ameritrade a reconnu vendredi qu’une de ses bases de données a été
piratée, et que des coordonnées concernant ses 6,3 millions de clients ont été volées.
Des pirates informatiques basés en Chine ont volé des informations relatives à la sécurité
nationale en Inde, ainsi que 1.500 mails provenant des bureaux du dalaï lama, et d'autres documents sensibles, ont annoncé mardi des chercheurs du "Citizen Lab" de l'Université de Toronto. Comment se protéger : Mettre à jour vos équipements (WSUS), activer et vérifier les journaux de sécurité, analyse de vulnérabilités
Techniques d’intrusions
• Le WIFI (sans‐fil)
– Il y a quelques années, « craquer » des clés WEP demandait une importante puissance de calcul.
– Il faut balayer le réseau à la recherche de millions de paquets, ce qui prend des jours, puis traiter les données interceptées, ce qui prend aussi un temps important. Aussi, les pirates ont développés des techniques qui accélèrent le processus de manière fulgurante ;
– La nouvelle attaque nommée « AirePlay » casse désormais une clé WEP de 128 bits en moins de 5 minutes en utilisant des techniques publiées il y a quelques mois.
Exemple: (31 mai 2007)
Scandale TJX : c'était une fuite de Wi‐Fi.
L'affaire TJX, le piratage réseau d'une chaîne de magasins qui aurait compromis près de 46 millions d'identités bancaires, aurait commencé
par l’attaque d’un réseau sans‐fil qui était peu protégé.
Comment se protéger : Utiliser une clé WPA2, bloquer la propagation du SSID
Techniques d’intrusions
Techniques d’intrusions
avancées
• La présence sur le WEB
–
Le « Cross site scripting » (ou XSS) est un type de faille de sécurité des sites Web que l'on trouve typiquement dans les applications Web. Ils peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux.
<BODY onload!#$%&()*~+‐_.,:;?@[/|\]^`=alert("XSS")>
<INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
<BODY ONLOAD=alert('XSS')>
<LAYER SRC="http://hacker.com/scriptlet.html"></LAYER>
<LINK REL="stylesheet" HREF="javascript:alert('XSS');">
<STYLE>@import'http://hacker.com/xss.css';</STYLE>
<META HTTP‐EQUIV="Link" Content=«
<http://hacker.com/xss.css>; REL=stylesheet">
<XSS STYLE="behavior: url(xss.htc);">
<OBJECT classid=clsid:ae24fdae‐03c6‐11d1‐
8b76‐0080c744f389
><param name=urlvalue=javascript:alert('XSS')></OBJECT
<SCRPT SRC=http://hacker.com/xss.js></SCRIPT>
<IMG SRC="javascript:alert('XSS');">
Exemple: (janvier 2005)
Une faille XSS exploitée sur le site myspace.com par un utilisateur
Techniques d’intrusions
avancées
• Man‐in‐the‐middle
•
L'attaque de l'homme du milieu (HDM) ou man in the middle attack
(MITM) en cryptographie est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été
compromis. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre.
Exemple : Sauvetage de Ingrid Betancourt
Techniques d’intrusions
avancées
• DOS et DDOS
•
Une attaque par déni de service (denial of service attack, d'où
l'abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de :
– l’inondation d’un réseau afin d'empêcher son fonctionnement
– la perturbation des connexions entre deux machines, empêchant l'accès à
un service particulier
– l'obstruction d'accès à un service à une personne en particulier
•
L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet.
Exemple: (août 2009)
Le site de microblogging Twitter a été victime d’une vaste attaque par déni de service distribuée (DDOS=Distributed Denial of Service Attack). Techniques d’intrusions
• Google hacking !
– « Googler » vos propres sites web !
– Exemple de recherche sur google : – confidential filetype:pdf
– inurl:/cgi‐bin/pass.txt
Techniques d’intrusions
• Social engineering (vous!)
– L’art de profiter de la bonne volonté des autres!
– Faites‐vous confiance à votre afficheur (caller‐
id) ?
Techniques d’intrusions
• Intrusions physiques
• Est‐ce un livreur ? Non un hacker !
• Restez vigilant, informez vos utilisateurs que ces menaces existent.
Conclusion
• Le cybercrime n'est pas prêt de cesser. C'est une réalité du 21ème siècle, et la très large disponibilité
d'Internet ainsi que les systèmes non sécurisés qui les accompagnent, ont accru considérablement le cybercrime. • Une législation suffisamment sophistiquée et des traités internationaux contre le cybercrime sur le point d'être adoptés, devraient aider le monde informatique à jouir d'un cyber‐espace plus sûr, et respectueux des lois.
Références
www.krollontrack.com
Nouvelles judiciaires
www.securityfocus.com
Vulnérabilités
www.secunia.com
Vulnérabilités
johnny.ihackstuff.com
Google hacking
www.milw0rm.com
Exploits