Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modèles de contrôle d’accès, confiance et réputation
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Sécurisation des réseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM…
Discussion
Conclusion
Objectifs du cours
A l ’issue de ce cours introductif, vous ne « saurez »… pas grand chose :-(
Mais vous aurez des idées (parfois précises) sur… beaucoup de choses :-)
Objectifs de ce cours :
Introduction/sensibilisation à la problématique de la sécurité
panorama des différentes composantes de cette problématique
identification et maîtrise des concepts et techniques de base
La vie après ce cours
(ré-)étudier les « grands » algorithmes de cryptage et protocoles d’authentification/PKI/…
en attendant la suite du cours sur les attaques réseaux, étudier quelques documents de recommandation pour administrateurs
étudier les technologies de sécurisation réseau : IPsec, VLAN, VPN…
étudier des méthodes d’analyse de risques
why not ? Procédures de tolérance aux catastrophes, survivabilité, gestion de la confiance, mécanismes de réputation, « security patterns », marché des PKI, etc.
Plan
Problématique et principes de base
Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modèles de contrôle d’accès, confiance et réputation
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Sécurisation des réseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM
Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modèles de contrôle d’accès, confiance et réputation
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Sécurisation des réseaux : VLAN, Ipsecure, VPN, DLP, ERM, IAM
Discussion
Conclusion
Système de management de la sécurité de l’information (SMSI)
SMSI = « ensemble d’éléments permettant à un organisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer cette politique, d’atteindre ces objectifs et de le contrôler » [from CLUSIF]
Le SMSI inclut donc au minimum :
documentations
méthode d’analyse des risques
processus de sécurité mis en œuvre
responsabilités
ressources
monitoring des activités liées à la sécurité
liste documentée des évolutions apportées
Exemples de normes : ISO 27K (notamment 27001 (mise en place SMSI), 27002 (ex 17799 – bonnes pratiques), 27005), ISO 13335 (management sécurité), ISO 15408 (évaluation/certification sécurité – « Critères communs »), ISO 31000 (management du risque)…
Modèle PDCA : Plan-Do-Check-Act (roue de Deming) : planifier-mettre en œuvre-surveiller-améliorer
Critères Communs (CC) Concepts et relations de base
Echelle de risque
Echelle de risque dans les SI
Règles de défense (ANSSI)
Méthodologies
Objectifs principaux :
Disponibilité
Intégrité
Confidentialité
Preuve
Politique de sécurité
Méthode d’analyse de risques. Exemples :
EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité (ANSSI)
Mehari (CLUSIF)
Elaboration d’une politique de sécurité d’un SI (PSSI) (ANSSI)
CONVENTIONS D'ÉCRITURE
PHASE 0 : PRÉALABLES
Tâche 1 : organisation projet
Tâche 2 : constitution du référentiel
PHASE 1 : ÉLABORATION DES ÉLÉMENTS STRATÉGIQUES
Tâche 1 : définition du périmètre de la PSSI
Tâche 2 : détermination des enjeux et orientations stratégiques
Tâche 3 : prise en compte des aspects légaux et réglementaires
Tâche 4 : élaboration d'une échelle de besoins
Tâche 5 : expression des besoins de sécurité
Tâche 6 : identification des origines des menaces
PHASE 2 : SÉLECTION DES PRINCIPES ET RÉDACTION DES RÈGLES
Tâche 1 : choix des principes de sécurité
Tâche 2 : élaboration des règles de sécurité
Tâche 3 : élaboration des notes de synthèse
PHASE 3 : FINALISATION
Tâche 1 : finalisation et validation de la PSSI
Tâche 2 : élaboration et validation du plan d’action
Analyse de risques : EBIOS (I)
EBIOS (2010) (II)
MODULE 1 – ÉTUDE DU CONTEXTE
Activité 1.1 – Définir le cadre de la gestion des risques
Activité 1.2 – Préparer les métriques
Activité 1.3 – Identifier les biens
MODULE 2 – ETUDE DES EVENEMENTS REDOUTES
Activité 2.1 – Apprécier les événements redoutés
MODULE 3 – ETUDES DES SCENARIOS DE MENACES
Activité 3.1 – Apprécier les scénarios de menaces
MODULE 4 – ETUDE DES RISQUES
Activité 4.1 – Apprécier les risques
Activité 4.2 – Identifier les objectifs de sécurité
MODULE 5 – ETUDE DES MESURES DE SECURITE
Activité 5.1 – Formaliser les mesures de sécurité à mettre en œuvre
Activité 5.2 – Mettre en œuvre les mesures de sécurité
Cf. http://www.securite-informatique.gouv.fr et http://www.ssi.gouv.fr
Modèle ISO 27001
1- Phase « Plan »
Définir le périmètre du SMSI
Identifier et évaluer les risques
Définir la politique de sécurité
Analyser les risques et définir le plan de gestion des risques
Définir les mesures de sécurité à mettre en place
2- Phase « Do »
Allouer et gérer les personnels et les moyens
Rédiger les procédures et documentations
Former les personnels
Mettre en œuvre les mesures de sécurité définies en phase 1
3- Phase « Check »
Monitorer le SI (en permanence)
Auditer (régulièrement) le SMSI (sur la base des documentations, des traces collectées et de tests)
Identifier les dysfonctionnements et les risques nouveaux
4- Phase « Act »
Définir les actions à engager pour traiter les faits constatés en phase 3
Plan
Problématique et principes de base
Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modèles de contrôle d’accès, confiance et réputation
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Sécurisation des réseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM
Stéganographie : tête des esclaves, Lord Bacon (codage binaire de caractères cachés), tatouage images (filigranes)
Cryptographie : depuis l’Antiquité (César (alphabet décalé))
Techniques de base
décalages
substitutions mono(poly)alphabétiques
transpositions (permutations) arbitraires
chiffrement par blocs de bits
Cf. cours Marine Minier
Cf. présentation Stefan Katzenbeisser “Large-Scale Secure Forensic Watermarking -- Challenges and Solutions” (colloque MDPS’ 2008) (et son livre “Information hiding : techniques for steganography and digital watermarking”)
Un peu de culture (I)...
George SAND :
Je suis très émue de vous dire que j'ai bien compris l'autre soir que vous aviez toujours une envie folle de me faire danser. Je garde le souvenir de votre baiser et je voudrais bien que ce soit là une preuve que je puisse être aimée par vous. Je suis prête à vous montrer mon affection toute désintéressée et sans cal- cul, et si vous voulez me voir aussi vous dévoiler sans artifice mon âme toute nue, venez me faire une visite. Nous causerons en amis, franchement. Je vous prouverai que je suis la femme sincère, capable de vous offrir l'affection la plus profonde comme la plus étroite en amitié, en un mot la meilleure preuve que vous puissiez rêver, puisque votre âme est libre. Pensez que la solitude oú j'ha- bite est bien longue, bien dure et souvent difficile. Ainsi en y songeant j'ai l'âme grosse. Accourrez donc vite et venez me la faire oublier par l'amour où je veux me mettre.
Un peu de culture (II)...
Réponse d'Alfred de MUSSET :
Quand je mets à vos pieds un éternel hommage Voulez-vous qu'un instant je change de visage ? Vous avez capturé les sentiments d'un cœur Que pour vous adorer forma le Créateur. Je vous chéris, amour, et ma plume en délire Couche sur le papier ce que je n'ose dire. Avec soin, de mes vers lisez les premiers mots Vous saurez quel remède apporter à mes maux.
Réponse finale de George SAND :
Cette insigne faveur que votre cœur réclame Nuit à ma renommée et répugne mon âme.
Sans doute un faux ! Mais ils s’échangèrent de vraies lettres cryptées
Voir aussi Sade...
Encore un peu de culture (Bacon)…
C'est l'essaim des Djinns qui passe, Et tourbillonne en sifflant. Les ifs, que leur vol fracasse, Craquent comme un pin brûlant. Leur troupeau lourd et rapide, Volant dans l'espace vide, Semble un nuage livide Qui porte un éclair au flanc.
Confidentialité : l’expéditeur code le message avec la clef publique du destinataire ; le message codé ne peut être décodé que si l’on dispose de la clef privée
Authentification de l’expéditeur : l’expéditeur code le message avec sa clef privée, le destinataire le décode avec la clef publique
Alice calcule A = ga mod p ; Bob calcule B = gb mod p
Alice envoie A à Bob
Bob envoie B à Alice
Alice calcule Ba mod p = gba mod p ; Bob calcule Ab mod p = gab mod p
Ces deux valeurs sont égales : elles constituent la clef secrète partagée par Alice et Bob (analogie : mélange de 3 couleurs gp, a, b)
Possibilité de généraliser à n participants
Echange de données (III) Protocole d’échange de clefs de Diffie-Hellman(-Merkle) (1976) (2/2)
Attaque « Man in the Middle » (cf. diapo suivante) :
Carole intercepte A et envoie à Bob sa valeur C en faisant croire qu’elle est Alice
de même, elle intercepte B et envoie à Alice C en faisant croire qu’elle est Bob
elle peut alors intercepter tous les messages échangés entre Alice et Bob
Raison de cette vulnérabilité : pas d’authentification de l’émetteur d’un message (horreur !)
Solution : signature des messages (protocole « Station-To-Station »)
Sorcière in the middle !!!
Signature numérique et certificats (1/3)
Les certificats sont délivrés par des autorités de certification
Champs de base d’un certificat :
clef publique du propriétaire et algorithme de chiffrement utilisé par le propriétaire
nom propriétaire
TTL (date limite de validité)
nom de l’autorité
n° de série et version du certificat
signature de l’autorité de certification (et algorithme de signature utilisé)
Certificat d’un acteur réseau : nom, clef publique pour l’échange de clefs, clef publique pour la signature, n°, infos autres, TTL, signature de l’autorité
Standard certificats : UIT : X509
Infrastructures de clefs publiques (PKI)
PGP/GPG
Signature numérique et certificats (2/3)
Fonctionnement (cf. diapo suivante) : vérification de l’intégrité d’un document/message
Côté émetteur-signataire-propriétaire
document haché (SHA, MD*, Whirlpool…) → empreinte
empreinte chiffrée avec la clef privée du propriétaire-signataire → signature
envoi du document avec la signature (« document signé »)
Côté destinataire
calcul de l’empreinte par le destinataire
comparaison avec l’empreinte signée par l’expéditeur
égalité des empreintes => document reçu = document initial
inégalité des empreintes => document reçu = altération du document initial
IGC - PKI
Entité Finale (EE : End Entity)
Autorité/opérateur de Certification (AC ou CA) - Service de validation
Délivre et signe des certificats
Joue le rôle de tiers de confiance
Opérateur de certification : travaille par délégation de l’AC
Service de validation : vérification des certificats, via, par ex., la publication de listes de révocation (CRL : Cert. Revoc. List))
Autorité d'Enregistrement (AE ou RA)
Réception et traitement des demandes de création, renouvellement, révocation de certificats
Autorité de Dépôt (Repository) /Annuaire de publication
Affichage des certificats et des listes de révocation
Autorité de Séquestre
Archivage des couples de clefs privée/publique (cf. perte clef privée => données cryptées perdues)
Sécurité nationale : obligations légales
Certification croisée/hiérarchique
PKI – (Discutable…)Exemple
Authentification : Kerberos
Originellement : basé sur le DES
Fonctionnement (cf. diapo suivante)
Init : connexion (mdp ou non), récupération clef de session Kg et ticket (avec TTL) (encrypté avec mdp) ; envoi d’une copie de la clef de session au Ticket granting server (TGS) (cryptage clef partagée par Kerberos et TGS)
Accès service : requête au TGS (ticket, nom du service, paramètres service) cryptée clef de session Kg ; si OK, retour par le TGS d ’un ticket de service encrypté avec une clef partagée Kp par le TGS avec le serveur + clef de session spécifique Ks ; le tout est crypté par la clef de session globale Kg ; enfin, envoi par l’utilisateur au service du ticket de service (contenant Ks) encrypté par Kp + authentificateur (estampille...) crypté avec Ks
Envoi des données : cryptage avec Ks.
Rq : il existe beaucoup de variantes !!!
Protocole Kerberos simplifié
Protocole Kerberos (un peu moins) simplifié
Plan
Problématique et principes de base
Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modèles de contrôle d’accès, confiance et réputation
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Sécurisation des réseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM
Discussion
Conclusion
Modèles de contrôle d’accès
Modélisation de la politique de contrôle d’accès aux ressources du SI
Eléments
Sujet : personne/système qui manipule/accède à des ressources
Objet : ressource
Droit : type d’accès accordé au sujet sur l‘objet
Conditions et contexte de la règle
MAC : Mandatory Access Control
Notions de niveau de sensibilité et de niveau d’accréditation
1 ressource => 1 niveau accès
1 utilisateur => 1 niveau d’accréditation
Accès <=> (accréditation >= accès ressource)
Simple pour une ressource, complexe pour un grand ensemble de ressources et d’utilisateurs
Peu flexible
DAC : Discretionary Access Control
1 ressource => 1 propriétaire
Le propriétaire définit les droits d’accès
1 ressource => 1 politique (ensemble de droits) d’accès
Mises en œuvre : ACL (Access Control List) ou Capacités (ex : certificat)
Simple
Souple
Lourd
RBAC : Role-Based Access Control
Définition de rôles
1 utilisateurs => n rôles
1 rôle => des droits sur des objets
1 objet => des droits attribués à certains rôles
Extensions multiples pour prendre en compte le temps, le contexte, etc.
Correspond bien à la structure des organisations
Difficile à gérer si très nombreux rôles ; risque de d’inférence d’information en combinant des rôles
ABAC : Attribute-Based Access Control
Un utilisateur => des attributs
1 ressource => certains attributs doivent être vérifiés
Accès => prouver qu’on valide ces attributs
Autres modèles de contrôle d’accès
Action-Based Access Control
Context-Based Access Control (CBAC)
RSBAC (Rule Set Based Access Control)
Policy-Based Access Control (PBAC)
Organization-Based Access Control (OrBAC)
Lattice-Based Access Control (LBAC)
Risk-Adaptive Access Control (RadAC)
Bell-LaPadula Confidentiality Model (« no read up, no write down »)
Biba Integrity Model (« no read down, no write up »)
…
Du contrôle d’accès à la confiance et à la réputation
Techniques classiques de contrôle d’accès valides pour des environnements fermés
Fédération d’identités (Shibboleth, OpenId, Liberty Alliance, WS-Federation…)
SAML (Security Assertion Markup Language) : échange d’informations (XML) d’authentification et de contrôle d’accès
XACML : langage de description de politique de règles de contrôle d’accès
Plan
Problématique et principes de base
Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Modèles de contrôle d’accès, confiance et réputation
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Sécurisation des réseaux : VLAN, Ipsecure, VPN, DLP, ERM, IAM
Discussion
Conclusion
Firewalls : basics
All packets exchanged between the internal and the external domains go through the FW that acts as a gatekeeper
external hosts « see » the FW only
internal and external hosts do not communicate directly
the FW can take very sophisticated decisions based on the protocol implemented by the messages
the FW is the single access point => authentication + monitoring site
a set of “flow rules” allows decision taking
Firewalls : usages
Access control : usage restriction on some protocols/ports/services
Packet filtering
Authentication : only authorized users and hosts (machines)
Monitoring for further auditing
Compliance with the specified protocols
Virus detection
Isolation of the internal network from the Internet
Data encryption
Connection proxies (masking of the internal network)
Application proxies (masking of the « real » software)
Firewalls : architecture (I)
Firewalls : architecture (VI): managing an internal FW
Firewalls : some recommendations
Bastion hosts
better to put the bastions in a DMZ than in an internal network
disable non-required services
do not allow user accounts
fix all OS bugs
safeguard the logs
run a security audit
do secure backups
Avoid to put in the same area entities which have very different security requirements
Using proxies (I)
Proxies can be used to « hide » the real servers/the real network
Exterior => Interior traffic
Gives the external user the illusion that she/he accesses to the interior server
But intercepts the traffic to the server, analyzes the packets (checks the compliance with the protocol, searches for keywords, etc.), logs the requests
Interior => Exterior traffic
Give the internal user the illusion that she/he accesses to the exterior server
But intercepts the traffic to the server, analyzes the packets (checks the compliance with the protocol, searches for keywords, etc.), logs the requests
Using proxies (II)
Advantage
knowledge of the service/protocol => efficiency and « intelligent » filtering
Confidentialité des données et protection partielle contre l'analyse du trafic
Intégrité des données
Authentification des données et contrôle d'accès continu
Protection contre le rejeu
IPsec(ure) (II)
Principes : ajout de champs d’authentification dans l’en-tête IP, cryptage des données, hachage d’intégrité
2 modes :
Transport : sécurité de bout en bout (jusqu’aux hôtes)
Tunnel : sécurité entre les 2 domaines
Avantage : sécurisation niveau réseau (couche OSI 3)
Inconvénients : coût, interfaces complexes avec les autres protocoles
IPsec peur être utilisé pour créer des VPN
Réseaux Privés Virtuels (VPN) (I)
Interconnexion de LANs distribués via des « tunnels » au-dessus d’une infrastructure partagée (typiquement Internet ou un réseau opérateur)
Alternative à une ligne louée (dite « ligne spécialisée : LS »)
Cryptage des donnés, authentification, contrôle d’intégrité
Protocoles mis en œuvre : IPsec, PPTP (Point to point Tunneling Protocol), SSL/TLS…
Principe de base : les paquets sont cryptés à leur sortie du LAN source et décryptés à leur entrée dans le LAN destination
Réseaux Privés Virtuels (VPN) (II)
Mobilité
les utilisateurs/collaborateurs connectés à Internet par modem/FAI peuvent accéder au VPN : client VPN client sur leur machine + attribution dynamique d’une adresse locale au VPN
Avantages
transparence
sécurité
coût
disponibilité d’Internet
Inconvénient
tous les LANs doivent être sécurisés (sécurité globale)
infrastructure physique partagée => qualité de service/performances moindres qu’une LS
« Data Loss Prevention (DLP)» « Enterprise Right Management (ERM) » « Identity and Access Management » (IAM)
DLP : Monitoring des échanges d’information sensibles (ex : échanges de courriels, clefs USB…) et limitation de l’accès à une information sensible dans un périmètre défini
3 grandes fonctionnalités :
Network DLP (Data in Motion, DiM) (analyse niveau réseau)
Storage DLP (Data at Rest, DaR) (analyse niveau stockage)
Endpoint DLP (Data in Use, DiU) (analyse niveau hôte)
Techniques mises en œuvre :
analyse statistique (ex : bayésienne) du contenu/des données
Analyse des transactions (source, destination, heure, etc.) à l’instar des pare-feux/IDS
Problèmes :
faux positifs / faux négatifs
transformation des données avant envoi
prise en compte complexe des processus métier
Liens avec l’ « Enterprise Right Management (ERM) » et l’« Identity and Access Management » (IAM)
Plan
Problématique et concepts de base
Types de risques : intelligence économique, « catastrophes », « piratage », cyber-guerre… - Propriétés de sécurité des systèmes informatiques
Eléments méthodologiques
Techniques de base : chiffrement, signature, certificats, authentification
Outils pour la sécurité : pare-feux, analyseurs de trafic, testeurs de réseaux
Modèles de contrôle d’accès, confiance et réputation
Sécurisation des réseaux : VLAN, IPsecure, VPN, DLP, ERM, IAM
Discussion
Conclusion
Politique de sécurité : finalités (recommandations de l’ANSSI)
Sensibiliser aux risques pesant sur les systèmes d'information et aux moyens disponibles pour s'en prémunir
Créer une structure chargée d'élaborer, de mettre en œuvre des règles, consignes et procédures cohérentes pour assurer la sécurité des systèmes informatiques
Promouvoir la coopération entre les différents services et unités de l'établissement pour l'élaboration et la mise en œuvre des règles, consignes et procédures définies
Susciter la confiance dans le système d'information de l'établissement
Faciliter la mise au point et l'usage du système d'information pour tous les utilisateurs autorisés de l'établissement
Rien ne sert… (CRU) (I)
de se payer un super coffre-fort pour protéger quelques pacotilles et de laisser l'accès libre à une cave remplie de grands crus classés !
il faut identifier ce qu'il faut réellement protéger
il faut définir des objectifs de sécurité
de construire des remparts à la Vauban pour se protéger de l'aviation !
il faut identifier les risques d’attaques
d'utiliser un marteau pilon pour écraser une mouche !
les moyens utilisés pour se protéger doivent être adaptés au risque
la sécurité doit avoir un coût raisonnable
Rien ne sert… (II)
d'acheter une super porte blindée et d'oublier de fermer la fenêtre !
la sécurité est une chaîne : si un maillon est faible, tout casse
une cohérence doit être assurée
et surtout la sécurité doit être vue globalement
d'employer un (et un seul) « gourou prêchant des formules secrètes » et de contraindre les enfants à assister aux offices
la sécurité doit être simple et comprise (un minimum) par tous
Passage d’une logique de « piratage » par un individu à un spectre composite de menaces : espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques à grande échelle, cyberguerre
