Auditeur en sécurité

Auditeur en sécurité
Nicolas RUFF
nicolas.ruff(à)eads.net
EADS Innovation Works
Bio
• Salarié du groupe EADS
• Au centre de recherches EADS Innovation Works
• 10+ ans d'expérience en sécurité informatique
• 5 ans en SSII
• 5+ ans en audit interne
• Passionné par la sécurité informatique depuis toujours
La sécurité informatique, pourquoi ?
• Dans un monde idéal, l'audit sécurité ne sert à rien
• Dans le monde réel, "la confiance n'exclut pas le contrôle"
• En pratique, la sécurité est un échec
• Logiciels bogués (y compris les logiciels de sécurité)
• Mauvaises habitudes des utilisateurs
• Mots de passe …
• Intrusions
•
•
•
•
Pirates du dimanche
Anonymous, LulzSec, …
Advanced Persistent Threats (APT)
Cyberguerre
Les métiers de la sécurité informatique
• Développeur de logiciels
• Développeur de logiciels de sécurité
• Intégrateur
• SOC / NOC / réponse aux incidents / analyste
• Hacker
• Responsable sécurité (RSSI / RSI / CIL / …)
• Consultant externe (SSII)
• Auditeur interne
•…
Les métiers de l'audit
•
•
•
•
•
•
•
•
•
•
Conseil (en phase de conception / spécification)
Revue de projets / sélection de produits
Audit de code source
Audit d'architecture
Audit de configuration
Audit d'implémentation / audit de produits
Test d'intrusion
Réponse aux incidents (forensics)
Red Team
…
Exemple #1 Test d'intrusion
• Contexte
•
•
•
•
Scénario du poste de travail compromis
Accès local à un poste standard
Aucun droit particulier
Aucune information préalable
• Méthodologie
• Elévation de privilèges sur le poste
• Exploration réseau
• Identification des cibles "clés"
• Contrôleurs de domaine
• Postes d'administration
• Accès à un compte "Domain Admin"
Exemple #2 Audit de produit
• Contexte
• Appliance en "boite noire"
• Mises à jour chiffrées
• Aucune coopération de l'éditeur
• Méthodologie
•
•
•
•
Injection dans commandes dans l'interface Web ou le shell restreint
Extraction du logiciel embarqué
Découverte de backdoor
Accès à l'infrastructure de l'éditeur
Exemple #3 Forensics
• Contexte
• Une anomalie est détectée lors d'une opération de routine
• L'investigation préliminaire révèle une compromission profonde de l'infrastructure
• Méthodologie
• Collecter toutes les données pertinentes
• Analyser les données
• Reverse Engineering
• Big Data
• Observer le comportement de l'attaquant
• Reconstruire une infrastructure "saine"
Nice to know
• Importance de la confiance & réputation
• Tout connaitre
• … avant de faire de la sécurité
• Apprendre vite
• Importance des domaines connexes
• Mathématiques, algorithmique, électronique, …
• Eviter la sur-dépendance aux outils
• Vous n'êtes pas bons … et peu de gens le deviendront 
Questions ?
• Source: http://www.stachliu.com/slides/sansptsummit2010-goodbadridiculous.pdf