• 8 heures
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 08/03/2023

Introduction du cours

e cours a été élaboré en collaboration avec le Conservatoire Nationale des Arts
Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers.

Comment les objets connectés peuvent-ils être détournés par des personnes malveillantes ? 

Qu’avons-nous à protéger sur notre système d’information ?

Quand devons-nous protéger notre système d’information ?

Ces questions sont à la base de la mise en place de bonnes pratiques. Dans ce cours, nous allons voir comment mettre en place des parades de base pour se protéger. Les 12 bonnes pratiques que nous allons aborder sont justement là pour apporter ces protections.

Les objectifs de ce cours sont de :

  • vous permettre de comprendre les fonctionnements, les menaces et les enjeux de sécurité liés aux usages des objets connectés ;

  • vous sensibiliser aux recommandations de base, que l'on appelle des "bonnes pratiques" ;

  • vous amener à comprendre les mécanismes plus complexes derrière ces bonnes pratiques de la sécurité informatique, comme l’authentification, par exemple.

Enfin pour chaque bonne pratique, vous verrez comment elle peut s'appliquer aux objets connectés.

Analysez les différents enjeux de sécurité pour vos objets connectés

Découvrez les bonnes pratiques de l'ANSSI

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers.

Dans ce cours, nous allons parler des bonnes pratiques de l'agence nationale pour la sécurité des systèmes d’information, ANSSI, pour protéger les systèmes d’information numériques connectés.

Tout d’abord, nous allons voir comment vous percevez le niveau de sécurité de votre entreprise.

Par exemple, pensez-vous que le fait d’avoir un pare-feu suffise à vous protéger de la cybercriminalité ? Vous envisagez d’acquérir un système de détection d’intrusion ; pensez-vous que c’est indispensable ? Les antivirus et les antispams sont déployés sur tout notre parc, notre SI est-il donc sécurisé ?

Ma messagerie est protégée par un mot de passe, ne risqué-je pas d’intrusion ? Mes données sont chiffrées sur mon disque dur, mais le sont-elles pendant les échanges ? Mes sauvegardes se réalisent régulièrement de manière automatique, suis-je tranquille ?

Enfin, le compte Invité a été désactivé, le compte Admin est protégé par un mot de passe, donc aucun souci sur les privilèges de mon poste de travail ?

Ce sont tous ces sujets que nous allons aborder dans les bonnes pratiques.

À qui s’adressent ces bonnes pratiques ?

Ces bonnes pratiques s’adressent aux chefs d’entreprises, aux responsables des systèmes d’information, et elles ne sont pas de trop pour les hommes de la sécurité (appelés les RSSI). Elles s’adressent également à vous, les utilisateurs d’ordinateurs et à ceux qui veulent se protéger dans leur usage quotidien de leurs objets numériques.

Qu’est-ce qu’une bonne pratique ?

Une bonne pratique est souvent considérée comme un point secondaire ou optionnel, mais en réalité c’est un objectif métier. Il s'agit d'un ensemble de comportements à respecter pour atteindre un objectif métier de qualité.

Qui décide les bonnes pratiques ?

Ce sont les experts du domaine concerné qui les émettent. Elles peuvent être écrites sous forme de guide, généralement consensuel, ou labellisées par des filières ou par des autorités. Une bonne pratique n'est pas une obligation légale, sauf si celle-ci a été rendue publique. Elle devient alors imposable et même requise pour obtenir une référence de votre système d’information, ou simplement pour expliquer que vous êtes conforme à la législation.

L'écosystème de la sécurité du système d'information

15118845051063_Capture1.jpeg
Logo officiel de l'ANSSI

Dans le cas de la cybersécurité, l’Agence nationale pour la sécurité des systèmes d’information est l’autorité en place pour veiller à ce que ces bonnes pratiques soient largement diffusées, connues, publiées et imposables.

La filière métier, via la Confédération des petites et moyennes entreprises (CGPME), s'est associée très tôt avec l’ANSSI pour pouvoir lister 12 règles essentielles à mettre en place immédiatement sur les systèmes d’information. La mise en place de ces règles se fait sous la responsabilité des chefs d’entreprise, ou éventuellement du responsable de la sécurité des systèmes d’information ou du responsable du système d’information.

 Mais qui régule en France la mise en place des bonnes pratiques de la SSI ?

Le rôle de l’Agence nationale de la sécurité des systèmes d’information est de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France.

L'ANSII en 2016
L'ANSI en 2016

Pour en savoir plus sur l'ANSSI, rendez vous sur leur site Internet.

15118846264102_Capture4.jpeg
Les activités de l'ANSSI

Saisissez les enjeux principaux des administrateurs et des attaquants

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers.

Comment un système d'information devient-il une cible de choix pour un attaquant ?

Le principe général d’une bonne pratique de la sécurité sera, par la mise en place de règles simples, de protéger sa cible, autrement dit son système d’information.

Un système d’information est un ensemble complexe, distinguant d'une part les informations et d'autre part l'ensemble des  composants pour traiter ces informations.

Les informations sont des biens importants pour chacun, elles sont tout ou partie intégrante de la chaîne de valeur de l'entreprise, puisqu'elles reflètent tout ou partie des connaissances de l'entreprise, de ses procédés de fabrication à ses fichiers clients et prospects, l’intérêt que chacun représente pour la richesse de l'entreprise, l'état d'avancement des processus, etc.

Il faut également voir l'entreprise dans son fonctionnement, en pleine activité, en pleine production de valeur ; c'est pourquoi les composants qui contribuent à créer, améliorer, protéger ces informations sont essentiels, mais ils ne sont que le support des activités et des opérations qu'ils réalisent.

En résumé, le SI est assez complexe, composé de réseaux privés (comme les réseaux locaux de l’entreprise, ou domestiques) ou de réseaux publics (essentiellement Internet ou les clouds).

Une entreprise n’est bien sûr pas limitée à un seul site, elle va donc s’interconnecter avec d’autres entités de l’entreprise, et c’est là qu’elle va s’exposer le plus aux attaques de cybercriminels. Elle est particulièrement exposée au moment où elle va diffuser ses informations sur le réseau Internet, sur le cloud, etc. Par conséquent, de nombreuses bonnes pratiques de sécurité doivent être mises en place.

Exemple
Exemple d'un système d'information

De plus, les réseaux sont sujets à des évolutions courantes qui vont favoriser de nouvelles attaques. En quelques décennies, on est par exemple passé du réseau filaire, où l’entreprise maîtrisait parfaitement les informations et les médias de ces informations (médias = supports) au non-filaire (sans fil) qui a grandement facilité les échanges d’informations, en les ouvrant à plus d’interlocuteurs, pouvant parfois être des attaquants qui maîtrisent bien ces pratiques.

Et les objets connectés ?

Depuis une dizaine d'années, les portables inondent le monde numérique. La mobilité va donc permettre aux usagers d’avoir des ordinateurs qui contiennent des fragments du système d'information sur leurs disques durs. Ces personnes peuvent utiliser ces portables à leur domicile en emportant avec elles des fragments du système d’information et les partager sur leur smartphone ou sur leur montre connectée.

De cette manière, on passe d’un système d’information classique, où tout était concentré autour de fermes de serveurs, à un système d’information fragmenté en espaces de stockage, qui vont se diffuser à travers des ordinateurs mais également des objets connectés, et plus encore via des médias (des supports de communication) non maîtrisés comme des « wireless » (ondes radios) et des clouds publics. Ces fragments du système d’information correspondent à des connaissances et à des savoir-faire métier de l’entreprise (des plans de fabrication transmis par exemple à une imprimante 3D) !

C'est bien l'un des atouts des objets connectés que d'offrir de nouveaux services ; ce phénomène souvent synonyme de nouveauté suscitera le téléchargement de nouvelles applications. Des échanges vont alors s'engager entre les utilisateurs et les éditeurs de logiciels, bien souvent via les clouds, les réseaux informatiques ou les télécoms.

Les bonnes pratiques peuvent-elles vous protéger face aux attaques informatiques ?

C'est lors de ces échanges que beaucoup d'actions malveillantes peuvent être entreprises par un attaquant. C'est en cela que la présence des objets connectés offre une vulnérabilité pour le système d'information de l'entreprise.

Le principe général d’une attaque sera justement d'exploiter l'absence de mise en œuvre de ces règles simples, les bonnes pratiques. L'attaquant va en tout premier lieu chercher le défaut d'application de ces bonnes pratiques de la sécurité, il va scruter vos systèmes pour trouver ces défauts.

Enjeux clés pour le maintien des conditions opérationnelles (MCO)

Les enjeux constituent l'ensemble des raisons pour lesquelles un dispositif est mis en place ; par exemple, les enjeux d'un système d'information sont de permettre d'organiser et rendre disponible au mieux l'information, qu'elle soit accessible chaque fois que nous en avons besoin. Les applications du système d'information sont en cela très précieuses. Par exemple, c'est bien l"enjeu de l'application "Google Maps" que de nous fournir des itinéraires optimaux chaque fois que nous cherchons comment nous rendre à une nouvelle adresse. D'une certaine manière, on peut résumer l'enjeu de cette application en une phrase :  "le maintien de la disponibilité de ces informations". Les enjeux du système d'information sont d'offrir un service global capable d'accompagner au quotidien, de façon opérationnelle, la disponibilité des services applicatifs du système d'information,  y compris, bien sûr, celle de l'application "Google Maps", mais de façon plus générale, le maintien des services applicatifs dont l'entreprise a besoin pour qu'elle puisse assurer quotidiennement toutes les opérations nécessaires  aux activités de production,  vente, livraison et suivi des produits qu'elle vend.

Les enjeux du système d'information sont le maintien des conditions opérationnelles et la protection des biens informationnels. Les conditions opérationnelles sont la disponibilité et la performance des services (processus, activités, opérations de support) et des informations.

C'est pourquoi, lorsque l'on parle des enjeux des services informatiques de l'entreprise, on parle du maintien en condition opérationnelle (MCO) des applications.

Enjeux clés pour le maintien des conditions de sécurité (MCS)

Les enjeux de la cybersécurité ajoutent une condition au fonctionnement du SI ; il s'agit de la mise en place et du maintien des conditions de sécurité (MCS) visant à ne pas contrarier les conditions opérationnelles du SI, afin que chacune des opérations du SI se réalise sans être exposée et sans en exposer d'autres. Ces conditions contribueront ainsi au maintien des conditions de sécurité (MCS).

Dans le domaine de la cybersécurité, on retient les propriétés suivantes qui doivent être respectées pour garantir le maintien des conditions de sécurité :

  • Confidentialité

Propriété du système et de l’information traitée qui n’est connue que des personnes légitimes.
En particulier, les opérations de copie, diffusion, envoi de message en pièce jointe, ne doivent pas permettre de révéler de l'information ni les  moyens d'y accéder ; les opérations par exemple de lecture, visualisation, consultation, offrant directement ou indirectement l'accès à ces informations ou aux lieux de leur stockage par exemple, ne pourront être effectuées que par des personnes dûment identifiées et légitimes pour les effectuer. Il en sera de même pour les opérations de diffusion ou de sortie de ces informations.

  • Intégrité

Propriété qui garantit que le système et l’information traitée ne sont modifiés que par une opération volontaire et légitime.

Les opérations ne doivent pas permettre de modifier de l'information ni les attributs ou le système qui la caractérisent ; les opérations apportant directement ou indirectement une modification de ces informations, de leur sens, leur structure, leur adresse, leur identification ou tout autre attribut qui la caractérise, ne peuvent être effectuées que par la volonté de personnes légitimes pour les effectuer. Il en sera de même pour toutes les opérations d'ajout, de suppression de cette information ou  tout autre attribut qui la caractérise.

  • Disponibilité

Propriété qui garantit que le système et l'information traitée fonctionnent sans faille avec le temps de réponse attendu pour les personnes, entités ou processus légitimes. Le maintien des conditions de sécurité doit être continu dans l'exécution des opérations du système d'information et de l'information traitée. L'absence des conditions opérationnelles du SI ne doit pas rendre indisponibles les conditions de sécurité du système et de l'information traitée.

Il en résulte que la disponibilité permet d'opérer sur le SI selon la planification convenue pour les entités légitimes - des personnes, services ou processus.

On a vu que l'enjeu principal de la sécurité du système d'information est de maintenir les conditions de sécurité des systèmes d'information et reposera donc sur les 3 majeures de la sécurité du SI : DIC pour disponibilité, intégrité, confidentialité. On ajoute également une propriété essentielle dans l'amélioration, d'une part, des opérations du SI, et d'autre part, dans la sécurité du système et des informations qu'il traite : il s'agit de la traçabilité.

  • Traçabilité

Elle consiste à suivre et contrôler les activités malveillantes visant les informations et les opérations du SI, les opérations pour le MCO et le MCS.

Et les enjeux de sécurité des objets connectés ?

En plus de toutes ces atteintes, les objets connectés sont confrontés aujourd’hui à des questions de vie privée. Selon le droit français Art. 9 CC, chacun a droit au respect de sa vie privée : " Les juges peuvent[...]prescrire toutes mesures [...] propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée[...]". C'est pourquoi la vie privée devient aujourd'hui un véritable enjeu  dans la mise en place des opérations de sécurité, en particulier pour les objets connectés.

Les bonnes pratiques sont finalement les éléments indispensables pour le maintien des conditions de sécurité des systèmes d'information. Il s'agit d'évaluer pour chaque bonne pratique comment et à quel niveau elle contribue au maintien de la disponibilité, l'intégrité, la confidentialité, la traçabilité, ainsi qu'à la protection de la vie privée.

Enjeux de l'attaquant

On considère néanmoins qu'une attaque réussie aura dû combiner 3 éléments fondamentaux :

  • une vulnérabilité ;

  • une menace (l’intérêt que suscite une entreprise, par exemple) ;

  • un plan d'attaque (un outil ou des codes informatiques appelés "exploit").

Sans vulnérabilité, sans exploit, l'entreprise la plus convoitée ne sera pas accessible à un attaquant ! De même, sans attrait pour un attaquant, une entreprise ne fera pas l'objet d'un plan d'attaque...

La vulnérabilité

L'exploit informatique, également appelé code malveillant, représente le programme informatique permettant d'exécuter et d'utiliser, à des fins malveillantes, cette vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) .

Les vulnérabilités sont référencées au niveau mondial via un organisme porté par le NIST ; les Common Vulnerabilities and Exposures, ou CVE, sont répertoriées dans un dictionnaire maintenu par un organisme appelé le MITRE, soutenu par le département de la Sécurité intérieure des États-Unis. Elles sont identifiées à l'aide d'un ID de la forme CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro d'identifiant) puis de leur appartenance à une classe. Il existe plus d'une cinquantaine de classes ; l'exemple ci-dessous présente une vulnérabilité CVE-2018-6686 , découverte en 2018 sur le logiciel McAfee, de classe "Problème d'authentification" :

Exemple
Exemple d'un identifiant CVE-2018-6686
La menace

Une menace désigne une intention de nuire à autrui (en portant atteinte à ses biens ou à sa personne) et vise à susciter de la crainte chez la personne visée ; on considère généralement 4 principales menaces :

  • la déstabilisation ;

  • le sabotage ;

  • l'espionnage ;

  • la cybercriminalité.

SABOTAGE

Le sabotage vise par exemple la détérioration de documents ou matériels de production, ou encore l’indisponibilité des services clés de l’entreprise ; dans ce dernier cas, on parle de déni de service. Il peut s’agir de services web, mais également de services sur les lignes de production de l'entreprise et sur leurs réseaux. La menace de sabotage est identifiée par le Livre blanc sur la défense et la sécurité nationale de 2013. La prise en compte de cette menace est une priorité pour l’ANSSI, notamment à travers ses travaux avec les Opérateurs d’Importance vitale.

ESPIONNAGE

Une attaque en espionnage réussie : combien de marchés potentiels perdus ?

Une part importante des attaques informatiques à des fins d’espionnage traitées par le Centre de cyber-défense vise des acteurs du secteur économique.

Les attaques utilisées pour l’espionnage à des fins économiques ou scientifiques ont souvent de lourdes conséquences pour les intérêts nationaux. Il peut s’agir d’intrusions suivies de la conservation à distance d’un accès au système visé. L’objectif de l’attaquant est de maintenir discrètement son accès le plus longtemps possible, afin de capter l’information stratégique en temps voulu.

De fait, il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage. L’attaquant dispose alors de toute la latitude nécessaire pour mettre la main sur l’ensemble des informations qu’il convoite.

DÉSTABILISATION

La déstabilisation vise  l’altération de documents publiés, afin de transformer des idées et des propos initiaux, de porter atteinte à l’image, d’ajouter des idées revendiquées ; les auteurs sont motivés par une idéologie ou une croyance. Enfin, la déstabilisation peut entraîner l’exfiltration d’information ou la divulgation de données, pour les rendre publiques dans le but d’intimider la victime et la conduire au versement d’une rançon.

CYBERCRIMINALITÉ

La cybercriminalité concerne tous les actes contrevenant aux lois en utilisant les données, les réseaux ou les systèmes pour commettre un délit ou un crime. Elles visent généralement l'obtention de données personnelles afin de les exploiter ou de les revendre : données bancaires, identifiants de connexion à des sites marchands, etc.

En conclusion, un attaquant poursuit un ou plusieurs objectifs ; il cherche à porter atteinte à ses victimes, afin d'en tirer parti.

Quelles sont les techniques mises en œuvre par l'attaquant ?

Le plan d'attaque

Afin de tirer parti des vulnérabilités de sa victime, l'attaquant établit un mode opératoire ; il s'agit d'une suite d'opérations visant à atteindre son but, et effectuées à partir d'outils informatiques exécutant des commandes système ou réseau. On considère généralement plusieurs étapes :

  • l'acquisition et la collecte d'informations sur la cible ;

  • l'accès initial ;

  • l'acquisition de droits d'accès ;

  • la pose de portes dérobées ;

  • l'effacement de traces.

En tout premier lieu, l'attaquant va sonder et cerner ses cibles potentielles ; selon ses intentions, il va réaliser un repérage des cibles qui offriront des points d'entrée. Il va effectuer de nombreuses recherches sur sa cible, avant d'accéder aux systèmes. Les techniques utilisées à cette étape sont des outils de sondage réseau et système.

Une fois sa première victime ciblée, l’attaquant cherchera à obtenir des droits « d’administrateur » (on parle alors « d’escalade de privilèges ») pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées. Cette manœuvre est également appelée « propagation latérale ».

Une fois ses cibles atteintes, il recherchera les informations qu’il s’efforcera de capter le plus discrètement possible (on parle alors ici « d’exfiltration ») soit en une seule fois, en profitant d’une période de moindre surveillance du système (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse.

Les techniques d'attaque de base

On distingue 3 familles d'attaques correspondant à des effets et atteintes des données ou des services :

  1. L'atteinte à la confidentialité : l'interception visant le vol ou la divulgation de données.

  2. L'atteinte à l'intégrité : la destruction, l'intrusion ou la modification visant la falsification ou l'injection de données.

  3. L'atteinte à la disponibilité : l'interruption visant la suspension ou l'arrêt du service.

Modèles génériques d'attaques
Modèles génériques d'attaques
Les attaques ciblées : Advanced Persistant Threat (APT)

En la matière, des attaques plus ou moins sophistiquées coexistent ; elles présentent la particularité de se dérouler en plusieurs étapes, dispersées dans le temps et dans l'espace. Elles peuvent être, à l'origine, dans certains cas d'actions ciblées et discrètes, menées pendant plusieurs mois ou années. Dans tous les cas, l’attaquant sait manifestement ce qu’il cherche et va se faire le plus discret possible pour pouvoir continuer ses méfaits le plus longtemps possible.

Les modes opératoires similaires et les techniques d’infiltration et d’exfiltration spécifiques de ces attaques en font une catégorie spécifique qualifiée par les analystes américains d'APT (Advanced Persistant Threat) ; elles touchent régulièrement des institutions et des industriels américains œuvrant dans des secteurs sensibles.

POINT D'EAU - watering hole

La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.

HAMEÇONNAGE - spear phishing

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblées. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…), dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici « d’infiltration »).

Qui peut conduire de telles attaques ?

Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblés. Il revient aux forces de police et non à l’ANSSI – qui apporte toutefois à celles-ci son expertise technique – d’en identifier les auteurs. Toutefois, le Centre de cyber-défense constate que ce type d’attaque est le plus souvent le fait de groupes structurés. Ces attaques très ciblées exploitent des codes conçus pour traverser les dispositifs de sécurité techniques de leur cible. Le développement de certains codes malveillants employés requiert parfois de très importants moyens, mobilisant des centaines d’ingénieurs.

S’agit-il d’États ou de concurrents ?

Certaines cyber-attaques utilisent parfois une tactique militaire bien rodée, déployant l’éclaireur, le perceur (intrusion dans le système d’information), celui qui va déposer, celui qui va rechercher, celui qui va collecter et exfiltrer les informations à tour de rôle. Dans certaines opérations, le niveau de sophistication technique et la division méthodique du travail mis en place laissent penser que seuls des États ou des organisations dotées d’importants moyens humains et matériels peuvent conduire de telles attaques.

Les attaquants génériques de la norme ISO 27001

La norme ISO 27001 classe les motivations des attaquants de la façon suivante, elle reste générique et ne s'adapte pas à des situations particulières ; l'un des objectifs de ce cours sera de prendre en compte les motivations spécifiques en fonction des objets connectés :

Pirate informatique

Défi
Amour-propre
Rébellion
Statut
Argent

Escroc informatique

Destruction d'informations
Divulgation illégale d'informations
Gain financier
Modification non autorisée de données

Terroriste

Chantage
Destruction
Exploitation
Vengeance
Avantage politique
Couverture médiatique

Espionnage industriel (renseignement, entreprises, gouvernements étrangers, intérêts d'autres gouvernements)

Avantage concurrentiel
Espionnage économique

Initiés (employés peu qualifiés, mécontents, malveillants, négligents malhonnêtes ou ex-employés)

Curiosité
Amour-propre
Renseignement
Gain financier
Vengeance

Erreurs et omissions involontaires (par exemple, erreur de saisie des données, erreur de programmation)

Les vulnérabilités génériques de la norme ISO 27001

Matériel
Exemples de vulnérabilité

Maintenance insuffisante/mauvaise installation des supports de stockage
Sensibilité à l'humidité, à la poussière, aux salissures
Sensibilité aux variations de température
Stockage non protégé

Exemple d'incident de sécurité

Vol de supports ou de documents

Logiciel
Exemples de vulnérabilité

Tests de logiciel absents ou insuffisants
Failles bien connues dans le logiciel
Pas de fermeture de session en quittant le poste de travail
Mise au rebut et réutilisation de supports de stockage sans véritable effacement

Exemples d'incidents de sécurité

Exemples de vulnérabilité

Abus de droits
Corruption de données
Usurpation de droits
Traitement illégal de données
Dysfonctionnement du logiciel
Piégeage logiciel

Réseau
Exemples de vulnérabilité

Absence de preuves d'envoi ou de réception d'un message
Voies de communication non protégées
Trafic sensible non protégé
Point de défaillance unique
Absence d'identification et d'authentification de l'expéditeur et du destinataire
Architecture réseau non sécurisée

Exemples d'incidents de sécurité

Reniement d'actions
Écoute
Usurpation de droits
Espionnage à distance
Saturation du système d'information

Personnel
Exemples de vulnérabilité

Procédures de recrutement inadaptées
Formation insuffisante à la sécurité
Absence de sensibilisation à la sécurité
Absence de mécanismes de surveillance

Exemples d'incidents de sécurité

Traitement illégal de données
Vol de supports ou de documents
Utilisation non autorisée du matériel

Site
Exemples de vulnérabilité

Absence de protection physique du bâtiment, des portes et des fenêtres
Absence de procédure formelle relative à l'enregistrement et au retrait des utilisateurs
Absence de procédure de surveillance des moyens de traitement de l'information

Exemples d'incidents de sécurité

Destruction de matériel ou de support
Perte de la source d'alimentation en électricité
Vol de matériel
Abus de droits

Organisme
Exemples de vulnérabilité

Absence d'audits réguliers (supervision)
Absence de procédures d'identification et d'appréciation des risques
Absence de bonne attribution des responsabilités en sécurité de l'information
Absence d'enregistrements dans les journaux administrateurs et journaux opérateurs
Absence de procédures relatives au traitement de l'information classée

Exemple d'incident de sécurité

Reniement d'actions
Panne de matériel
Traitement illégal de données
Vol de matériel

Que faire en cas d'attaque ?

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers.

L'ANSSI

L’ANSSI, créée par le décret n° 2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009), accompagne les entreprises en fonction de leur profil par des actions de conseil, de politique industrielle et de réglementation, afin de rendre disponibles des produits de sécurité et des services de confiance.

Afin de mener à bien sa mission d'accompagnement, l'ANSSI promeut la loi de programmation militaire, l'un des points clés : "la sécurité de l’ensemble de la société de l’information nécessite que chacun soit sensibilisé aux risques et aux menaces et adapte en conséquence ses comportements et ses pratiques." Depuis sa création, l'ANSSI émet régulièrement les bonnes pratiques pour améliorer la sécurité des SI, des objets connectés...

Le CALID

Pour lutter contre les attaques, nous avons justement les contre-mesures qui représentent le principal levier des bonnes pratiques. Le Centre d’analyse de lutte informatique et de défense (CALID) est sous le contrôle du ministère de la Défense. Ce centre veille, agit, tient des statistiques et établit les contre-mesures face à des exploitations malveillantes des erreurs ou des mauvaises pratiques du système d’information, des objets connectés ou des applications.

La CNIL

Dans l’univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. La CNIL déploie au quotidien 2 types de missions :

  • la CNIL peut informer, protéger les droits et  intervenir. En cas de difficulté dans l’exercice de ses droits, toute personne, particulier ou professionnel, peut s’adresser à la CNIL pour lui adresser une plainte ;

  • pour la mise en conformité, l'objectif prioritaire du régulateur qu’est la CNIL est d'accompagner et conseiller les entreprises.

80 % des attaques informatiques viennent des problèmes liés :

  • aux mises à jour :

    • des systèmes et des applications ne sont pas à jour de leurs correctifs de sécurité,

    • des sites web ;

  • à la complexité des mots de passe :

    • une politique de gestion insuffisante (mots de passe par défaut, ou trop simples et non renouvelés régulièrement…) ;

  • aux comptes privilège :

    • une absence de séparation des usages entre utilisateur et administrateur des réseaux,

    • un laxisme manifeste dans la gestion des droits d’accès ;

  • de la surveillance des systèmes d’information :

    • analyse des journaux réseaux et de sécurité ;

  • de la stratégie de conception des architectures :

    • cloisonnement insuffisant des systèmes --> l'attaque se propage au sein des réseaux,

    • restrictions d’accès aux périphériques (supports USB…) ;

  • à l'accès réseau :

    • ouverture excessive d’accès externes incontrôlés  --> nomadisme, télétravail ou téléadministration des systèmes ;

  • au facteur humain :

    • une sensibilisation et une maturité insuffisantes des utilisateurs et des dirigeants face à la menace dont ils ne perçoivent pas les risques.

Que faire en cas d’attaque ?

Vous pouvez toujours contacter la police et les centres d’assistance aux victimes, mais aussi :

Mais avant ?  À nous de nous atteler aux bonnes pratiques !

Soyez vigilant vis-à-vis de vos outils de production

Choisissez vos mots de passe avec soin

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers

L’objectif de cette partie c’est bien sûr de parler du mot de passe et de vous conseiller sur vos choix de mot de passe, de vous engager à être particulièrement prudent dans certaines situations, de vous aider à appliquer les recommandations ; mais c’est surtout de comprendre comment fonctionnent les systèmes qui emploient les mots de passe, c'est-à-dire les systèmes d’authentification.

L'originalité de cette bonne pratique est qu'elle est liée à notre identité numérique, puisque le mot de passe représente la partie "secret" de l'incontournable " login - mot de passe ".

Dans quels cas utilise-t-on les mots de passe ?

Sur le schéma, toutes les flèches rouges expriment les points de stockage ou de transit de vos mots de passe ; ce qu’il faut savoir, c’est qu’un mot de passe est l'un des moyens les plus employés pour permettre à un émetteur de prouver son identité. Le but de l'émetteur est de convaincre le récepteur de son identité numérique, le but du récepteur sera de la valider ; le mot de passe permet aux deux de se reconnaître, c'est comme cela qu'ils établissent leur confiance.

L’émetteur, en tant qu'identité numérique, peut être vous ou une machine qui va prendre votre rôle, le destinataire peut être l’interlocuteur avec qui vous avez partagé l’information que vous protégez avec votre mot de passe, mais il peut également être des serveurs, votre disque dur ou un objet connecté ; par exemple, quand vous êtes en bluetooth on vous demande un code qui est l'équivalent d’un mot de passe, que vous partagez avec votre système qui est un objet connecté.

Un cas d’usage très courant est l'usage du mot de passe en entreprise : quand vous vous connectez sur vos données d’entreprise, votre mot de passe vous sera demandé via une « mire d’authentification Windows », ou vos sites web, ou le cloud, ou votre réseau WiFi. Un dernier exemple est lorsque vous êtes en voiture et que vous connectez votre smartphone au tableau de bord, on va vous demander à un moment donné un code pour faire un appariement, ou jumelage "bluetooth".

Par conséquent, vous allez vouloir faciliter ces usages par des moyens mnémotechniques mais en faisant cela, vous faciliterez la tâche de l’attaquant ; d’autant qu’une multitude de ressources dans le NSI (« navigateur sur Internet ») nécessitent l’utilisation de vos mots de passe, que l’attaquant utilise des outils de surveillance des réseaux pour détecter la présence de mots de passe, et que lorsque ces mots de passe ne sont pas complexes, il peut les déduire ou les lire.

Les différentes situations d'usage d'un mot de passe : exemples les plus courants comme un client externe se connectant sur un serveur, un client en
Les différentes situations d'usage d'un mot de passe : exemples les plus courants comme un client externe se connectant sur un serveur, un client en "home work" se connectant sur le serveur d'entreprise, ou en local se connectant sur son poste de travail

Comment ça marche, l'échange des mots de passe ?

Tout d’abord, l’usage d’un mot de passe fait intervenir 2 acteurs, l'émetteur et le récepteur, pouvant être une machine et/ou un humain. L'émetteur présente son mot de passe, le récepteur le valide, nous les appellerons respectivement le client et le serveur.

Ce qu’il faut comprendre, c’est que quand vous engagez un échange, vous pouvez le faire avec beaucoup d’outils et d’équipements ; à chaque fois que vous faites une demande de connexion à une application, celle-ci vous demandera un mot de passe via une « mire d’authentification », et après un contrôle de la part du serveur, l’accès vous sera ouvert, les 5 étapes présentées ci-dessous se déroulent toujours ainsi pour établir le lien de confiance.

Principe général d'authentification : envoi d'identifiants d'un client vers un serveur et son contrôle par le serveur
Principe général d'authentification : envoi d'identifiants d'un client vers un serveur et son contrôle par le serveur

Comme mentionné précédemment, le mot de passe se passe entre 1 client et 1 serveur. Le serveur peut être une borne WIFI, un objet connecté, un poste de travail, etc. Le principe est toujours le même, comme vous le montre le schéma que vous avez en 1, c’est ce qu’on appelle une mire d’authentification (1) qui vous demande (2) votre identité et votre mot de passe et vous cliquez pour vous connecter ; ces informations vont être transmises à votre serveur (3) pour pouvoir être contrôlées puis vous donner l’autorisation d’accès ensuite (4).

Le mot de passe est la 1re propriété de votre identité numérique ; donc on comprend que si l’attaquant a le mot de passe, il a votre identité numérique également et bien sûr toutes les ressources qui sont derrières : cela peut être l'accès à vos réseaux sociaux sur Internet mais pas seulement, l'accès à votre entreprise, à vos données personnelles => l’enjeu est considérable.

Comment protéger l'échange de votre mot de passe ? Quels mécanismes se cachent derrière tout cela ?

Vous avez des « paquets réseaux » qui vont circuler entre le client et le serveur pour transmettre ces identifiant et mot de passe (comme le montre le schéma) ; si vous êtes en cloud, alors ça va circuler sur Internet, si vous êtes dans le réseau local de votre entreprise, alors ils vont être restreints au site de l’entreprise. Ces identifiants seront envoyés au serveur, il doit pouvoir les contrôler ; ça veut donc dire que le serveur doit héberger quelque part ces informations, et ce sera sur son disque dur. Une fois contrôlé, vous pourrez entrer en communication avec le serveur et aurez accès à toutes les ressources. 

Ajout d'une clé symétrique afin de protéger l'échange de mot de passe entre un client et un serveur
Ajout d'une clé symétrique afin de protéger l'échange de mot de passe entre un client et un serveur

N'est-ce pas dangereux de laisser les identifiants sur le réseau ou de les stocker sur le client et le serveur ?

Bien sûr, chacun est en droit de se demander s'il ne serait pas plus prudent de masquer ces informations. En particulier en cloud, c’est ouvert à tout le monde, donc n’importe quel attaquant qui voit votre paquet réseau va pouvoir le reconstituer et associer le couple identité-mot de passe, on peut aussi très bien imaginer que l’attaquant accède au serveur et par ce biais à la liste que le serveur possède pour contrôler vos identifiants. Par conséquent, il va falloir chiffrer vos mots de passe ! Le chiffrement (qu’on verra plus tard) utilise des opérations mathématiques, car l’information que vous transmettez est numérisée.

Tout à l’heure, on avait un client et un serveur et on voit qu’on a envoyé nos paquets réseaux de manière chiffrée ; donc, l’attaquant, s’il se trouve sur le réseau, ne pourra accéder à ces informations. De cette manière, le serveur reçoit les informations chiffrées. On peut alors se demander comment le serveur peut contrôler ces informations, alors qu'elles sont chiffrées.

Le protocole décrit comment faire, mais il ne permet pas de protéger le message de regards indiscrets ; on va ajouter un verrou et un jeu de clés pour fermer et ouvrir le message. Bien sûr, il s'agit d'une image ! C'est tellement parlant de dire qu'il faut une clé pour fermer et ouvrir le message, que seuls ceux qui ont la clé peuvent le fermer et l'ouvrir, qu'un attaquant a pour seul but de l'ouvrir, il cherchera à subtiliser ou forger la clé. C'est également parlant de dire que la clé doit être partagée, les propriétaires de la clé autorisent la fermeture et l'ouverture du message. Ce principe est tout le temps utilisé en cryptographie, on parlera de "clé de chiffrement" ; cette clé est partagée par le client et le serveur : le client ferme le message avec sa clé et le serveur pourra l'ouvrir.

Pour que cette clé puisse agir et protéger ce qu'il y a derrière, il faut ajouter un verrou : en quelque sorte, il coopère avec la clé pour fermer ou ouvrir. L'algorithme de chiffrement sera donc à comparer à un verrou, il va transformer un message en clair en un message chiffré à l’aide de la clé de chiffrement. En réseau, on parle de "chiffré" ou de "cryptogramme" pour désigner le paquet fermé qui circule sur les réseaux : le réseau local, WiFi ou Internet.

Nous résumons les caractéristiques du chiffrement : pour que deux interlocuteurs échangent en masquant leurs paquets réseaux, il faudra 3 éléments : un protocole, un algorithme et une clé qu'ils devront partager.

Quelles sont ces tentatives d’attaque ? Quelles sont les bonnes pratiques en retour ?

On a expliqué l’authentification et la façon dont les mots de passe circulaient et pouvaient être contrôlés par le serveur avec cette notion de « hash ». Donc si on revient à notre situation initiale où on observait une grande prudence sur le réseau et sur le disque dur, on voit qu’avec le principe de la signature et le principe des clés privée/publique on a résolu ces 2 questions. Ça veut dire que si vous utilisez une clé partagée, vous serez soumis à une autre question qui est la complexité de votre mot de passe ; autrement, l’attaquant peut employer des méthodes d’attaque sur votre mot de passe chiffré.

Les bonnes pratiques et les "attaques en force brute"

On considère qu’un attaquant peut essayer de deviner votre mot de passe et va créer un dictionnaire de tous les mots de passe possibles et imaginables. L’image du dictionnaire est assez intéressante, il va aussi bien y enfermer de l’information générique (par exemple : bonjour, loulou (nom de son chien)), qu'un mot de la langue française, etc. Il va donc enfermer dans cette liste toutes les possibilités qui sont connues sur les mots de passe utilisés ; c’est pour ça qu’il ne faut jamais laisser traîner ses mots de passe ne serait-ce que pour ne pas donner aux attaquants l’occasion de faire des statistiques avec des mots de passe utilisés.

Ensuite, avec ce dictionnaire il va fabriquer un petit outil capable d’automatiser les tentatives de remplissage de votre identité et de votre mot de passe, l’identité étant généralement simple à deviner (c’est souvent nom prénom)... par conséquent, la bonne pratique porte vraiment sur le mot de passe.

Il fera les mêmes essais en testant les codes de « hash »,  remplaçant caractère par caractère, tout en regardant si ça peut être votre mot de passe. C’est impressionnant et vous verrez que les outils permettent, une fois qu’ils ont le flux, de deviner 6 caractères sur 10 ; d’où l’intérêt de rester avec les bonnes pratiques avec des mots de passe complexes.

Les mots de passe complexes sont des mots qui ne font pas partie du dictionnaire et qui emploie des caractères spécifiques.

Pour construire vos mots de passe, il faudra donc des stratégies mnémotechniques, vous permettant de vous souvenir de choses peu "signifiantes". Par exemple n’utilisez pas « bonjour » comme mot de passe, par contre si tout d’un coup vous écriviez « vonjour » ou « vontour » ou « vonture » => la difficulté commence à se faire voir pour l’attaquant.

Ensuite, si vous utilisez des mots de passe ordinaires comme « bonjour » l’attaquant par défaut va mettre des minuscules ; mais si c’est une majuscule, comme la plupart des outils sont sensibles à la « casse », il va falloir encore qu’il fasse un autre test, donc ça va retarder l’attaquant. Et puis après, si vous prenez des chiffres et que vous faites des combinaisons un peu étranges, l’attaquant va avoir davantage de difficultés pour trouver dans son dictionnaire des chiffres, des caractères spéciaux comme : % , . Le fait de combiner tous ces caractères et chiffres avec votre mot de passe va retarder l’attaquant ; de plus, comme l’attaquant procède caractère par caractère, plus votre mot de passe sera long, plus il sera retardé.

Ensuite, la façon dont travaillent les protocoles de chiffrement (ou déchiffrement) fait que si vous personnalisez un mot de passe de longueur inférieure à 8 caractères, l’attaquant pourra le trouver plus facilement, car son outil sera capable de regrouper en quelque sorte les caractères pour accélérer le processus de déchiffrement. Par contre, si la longueur est supérieure à 8 caractères, l’attaquant va devoir relancer une deuxième fois l’exécution de son outil pour retrouver votre mot de passe.

Les bonnes pratiques et les "keylogger "

Après les attaques par dictionnaire, il y a d’autres manières de pouvoir vous surprendre en train de taper vos mots de passe. Il y a toute la génération de « keyloggers » par exemple : vous tapez votre mot de passe, vous pensez que ce sont des petites étoiles qui circulent et que votre mot de passe est protégé, mais en réalité ça passe en clair sur le réseau. Parce que l’attaquant a forgé un « keylogger » qu’il a déposé sur votre machine quand vous avez cliqué malencontreusement sur un site web. Le rôle du « keylogger » est de vous donner l’impression que votre mot de passe est protégé, alors qu’en réalité il est en clair.

Autre petite astuce, c’est de vous envoyer sur des pages Internet trafiquées : vous avez l’impression que vous êtes sur un bon site web en « https » (mode sécurisé), alors qu’en réalité votre mot de passe circule en clair. Là encore, vous avez eu un cheval de Troie sur votre machine lorsque vous avez cliqué sur un site Internet ; ce « trojan » vous redirige sur la page web du pirate.

Vous avez aussi la possibilité de donner des informations physiques : bruit de clavier, champ électrique, ondes radio… qui permettent de déduire les caractères que vous tapez sur votre clavier.

Ça, c’est une première génération où les choses se passent sur votre clavier informatique d’une part, et d’autre part sur votre machine où les « keyloggers » ou les « trojans » sont en relation avec le « driver » (pilote) de votre clavier.

Les bonnes pratiques et l'écoute réseau

Un autre point est l’écoute du réseau. On a vu que le réseau pouvait être écouté et que les protocoles réseaux ne sont pas forcément tous chiffrés, même avec certains logiciels de chiffrement qui soit-disant chiffrent votre navigation sur le réseau, alors que ce n’est pas le cas et que vous pouvez très bien naviguer à découvert même en HTTP, ce qui est de moins en moins autorisé de par vos navigateurs. Pour votre sécurité, vous pouvez utiliser des fonctions comme FTP pour télécharger des logiciels, ou aller sur des annuaires pour vous découvrir et taper à la demande des mots de passe.

À partir du moment où vous savez que vous avez chiffré votre information, qu’elle sort de votre machine et que vous pouvez la valider, vous pouvez être certain qu’elle va être véhiculée sur le réseau en mode chiffré ; la question est : comment vous assurer que cette information soit bien chiffrée par votre machine ?

Donc, bien sûr vous avez la « mire HTTPS » qui permet de le faire avec des protocoles SSN et des serveurs de chiffrement intermédiaires ; mais rien n’est jamais vraiment garanti puisqu’il y a d’autres attaques qui peuvent survenir. Par exemple, il y a « l’attaque de l’homme dans le milieu » où vous êtes sur un site web que vous n’avez pas référencé et vous allez entretenir une liaison avec un attaquant qui va pouvoir vous répondre et transmettre vos informations de manière chiffrée. Par conséquent, vous êtes persuadé que vous êtes en sécurité, alors que vous êtes en cours avec un attaquant.

Donc « l’homme dans le milieu » peut surtout arriver dans le cadre de la confusion entre HTTP et HTTPS, mais il y a une autre manière toute bête de se faire prendre son mot de passe, qui est « l’ingénierie sociale ».

Les bonnes pratiques et l'ingénierie sociale

Ça m’est arrivé d’aller chez des clients et de pouvoir entrer sur leur système, parce que la personne était allée boire un café ; donc il me suffisait de soulever le clavier pour trouver le mot de passe et de pouvoir faire mon travail de technicien. Attention, ne laissez pas d'indices pour votre mot de passe comme l'attaque avec TV5 et le post-it, ou le post-it sous votre clavier.

Il existe aussi de l’ingénierie sociale beaucoup plus insidieuse, comme une discussion d’un administrateur réseau avec un pirate qui va essayer de le faire parler en boîte de nuit, au restaurant ou à l’écoute au restaurant avec quelqu'un pour essayer de voir quelles sont vos pratiques, quels sont les noms des services qui ont pu être mis en place. Ça peut être aussi par interrogation d’une secrétaire pour essayer de savoir si vous avez des marques de matériels de type « Cisco » ou « Juniper » en se faisant passer pour un ingénieur commercial vous faisant convoiter un prix plus compétitif. On peut imaginer toutes les astuces qui existent pour « l’ingénierie sociale » ; et puis n’oublions pas que l’ingénierie sociale a trouvé un super vecteur, c’est la messagerie : on sait forger des messages qui ressemblent à ceux que pourrait envoyer votre banque ou votre administrateur réseau qui va vous demander votre mot de passe.

Les bonnes pratiques et la distribution du premier mot de passe

Parce que si j’utilise le réseau pour transmettre la clé de chiffrement à mon serveur, l’attaquant peut déjà y être présent et récupérer puis utiliser cette clé. Par exemple, Alice décide d'utiliser la clé : « Aladin » et transmet un message à Bob en lui disant : « voilà, Bob, je te transmets « Aladin » comme clé". Si l’attaquant est présent au moment où cet échange se réalise, forcément il va pouvoir déchiffrer tous les messages ; donc, par sécurité il ne faut pas utiliser le même canal pour faire toutes les transactions. C’est pour ça que souvent, au sein d’une entreprise, on vous envoie votre mot de passe par un mail alors que vous avez créé un compte par le biais d’un site web. Vous verrez aussi que c’est beaucoup plus fort d’utiliser par exemple un SMS pour vous envoyer le mot de passe plutôt qu’un site web ou un mail. Donc, en changeant de canal on va augmenter le niveau de robustesse des futures transactions qu’on va réaliser.

Donc il est encore une fois recommandé de changer de mot de passe le plus tôt possible, parce que ça évite à l’attaquant de pouvoir être à la fois sur tous les canaux.

Vous avez tous envoyé un courrier postal ?

De façon plus générale, on voit que toutes ces situations d'échange rendent l'usage quotidien de vos identités numériques et de vos applications extrêmement complexe.

Certains principes peuvent vous aider, comme identifier la légitimité "électronique" de celui qui vous a envoyé un message ou de celui qui le reçoit. Cela permet d'établir la confiance entre les interlocuteurs de l'échange.

Vous avez tous envoyé un courrier postal. On distingue le courrier simple, le courrier recommandé avec et sans accusé de réception, le Chronopost... Chacun de ces principes apporte des services pour garantir pendant le transport certaines propriétés. Si vous avez envie ou besoin de préserver vos courriers de regards indiscrets, de prouver l'envoi d'un courrier ou sa réception, le nom de l'émetteur ou du destinataire, alors vous verrez ces mesures de protection d'un bon œil !

Quand vous cherchez à ce que seules les personnes que vous avez autorisées puissent lire votre courrier, vous souhaitez disposer de mécanismes de confidentialité, pendant le transport de votre message en particulier, mais également vous assurer que le destinataire est bien celui qu'il dit être.

Quant on envoie une lettre recommandée, c'est bien pour prouver son envoi. C'est le principe d'imputabilité de la source ; et en même temps on ne pourra pas nier l'avoir envoyé, c'est le principe de non-répudiation, cela apporte pour le destinataire une garantie sur la source.

En revanche, ce principe ne prouve rien sur le destinataire, on ne sait pas s’il a réceptionné ce courrier, s’il l’a lu, de plus ; cela pourrait être n'importe qui, qui pourrait recevoir ce courrier et le lire. Pour établir la légitimité du destinataire, on choisira d’envoyer une lettre recommandée avec accusé de réception qui établira la réception du courrier par son destinataire ; c'est le principe d'imputabilité de la cible, et cette dernière ne pourra nier avoir reçu ce courrier.

La clé, la serrure et le cadenas

La cryptographie appliquée aux messages électroniques fait appel à des concepts simples du monde réel.

Comme dans le monde réel, vous cherchez généralement à garantir vos biens contre le vol, la destruction, le détournement d’usage, la détérioration ; vous pensez peut être moins à garantir les personnes.

Pourtant, bien que quasi quotidiens, les échanges sur Internet présentent le désavantage de ne pouvoir identifier les interlocuteurs avec qui vous interagissez. Vous avez l’impression d’échanger avec une vraie personne, mais n’oubliez jamais qu’elle n’est que virtuelle ; au fond, vous-même, vous êtes également virtuel pour votre interlocuteur. Vous allez donc chercher à garantir certaines choses : la légitimité de votre interlocuteur et des biens que vous échangez.

Mais les techniques d’échanges employées dans le monde réel ne s’adaptent plus, vous n’êtes plus au jugé des valeurs que vous avez l’habitude d’employer, là, vous êtes en « aveugle » pour décider de la légitimité de vos actions et de celles des autres. C’est pourquoi nous allons vous apprendre comment protéger les vôtres, vos amis, vos biens et vous-même.

Comment mettre en place des mesures de protection sur vos objets personnels ?

Lorsque vous vous voulez être certain que personne ne puisse accéder à vos objets personnels sans votre accord, vous allez utiliser un coffre, muni d’une serrure actionnée à l’aide d’une clé.

La serrure et la clé forment un système de protection plus évolué qu’un simple verrou, la serrure est dotée d’un mécanisme de fermeture et d’ouverture à clé.

Seul celui qui possède la clé - vous en l’occurrence – peut fermer afin de protéger les objets de votre coffre et ouvrir la serrure afin d’y accéder. La serrure et la clé doivent former un couple unique, la sécurité de votre coffre ne repose absolument pas sur la complexité de la serrure - qui est un mécanisme connu de tous - mais sur la possession et la complexité de la clé ; aussi, une clé forgée par un attaquant ne doit pas pouvoir fonctionner.

Partagez vos objets personnels avec vos amis ?

Ce principe a néanmoins des limites. La clé est dans ce cas le secret que vous cherchez à préserver, ce système de protection est appelé pour cette raison à clé secrète et parfois à clé symétrique, du fait que la même clé permet de fermer et ouvrir votre serrure, ce secret ne pourra être reproduit, rejoué, dupliqué, diffusé.

Lors de votre échange avec votre ami, il faudra lui fournir une clé identique à la vôtre pour qu’il puisse accéder à votre coffre. Dans ce cas, la clé devient un secret partagé entre vous et votre ami. La règle principale étant que celui qui possède la clé peut fermer et ouvrir la serrure du coffre pour accéder aux objets, sa distribution étendue à votre cercle d’amis rend chacun d’entre eux légitime pour fermer ou ouvrir la serrure et accéder à vos objets personnels.

Ce système vous permet de garantir l’accès, au moment de l’accès, à vos amis ayant la clé secrète partagée, mais il présente le désavantage que la clé subtilisée par un attaquant pourrait immédiatement lui permettre d’ouvrir votre serrure ; autre exemple, en cas de vol (sans effraction) de vos objets personnels, vous penserez qu’un de vos amis a trahi votre confiance, mais vous ne serez pas en mesure de le désigner. Lequel d’entre eux a :

  • fermé ou ouvert la serrure ;

  • ouvert et simplement regardé ;

  • ouvert, et subtilisé vos objets personnels ?

Principe général de la cryptographie à clé symétrique
Principe général de la cryptographie à clé symétrique
Utilisation de la cryptographie symétrique dans un protocole de cryptographie symétrique
Utilisation de la cryptographie symétrique dans un protocole de cryptographie symétrique
Vous souhaitez partager vos objets personnels avec vos amis ?

Afin d’avoir un œil sur l’ensemble des activités et organiser les accès effectués par vos amis, vous allez dresser une liste associant chacun d’entre eux par ses nom, prénom, à sa clé propre ; cette liste d’amis autorisés est un annuaire élaboré au préalable par vous, également appelé « white list ». Ce mécanisme repose sur une gestion des identités dont le but est de rendre chacun unique par sa clé, le système de protection reposant sur un cadenas « bi-clé » permet d’identifier celui qui ouvre.

Au moment de l’accès au coffre, le système de protection vérifiera et reconnaîtra la clé ou le code secret. Dans le cas du cadenas, ce mécanisme d’authentification sera passif. Le possesseur du code secret a pu ouvrir la serrure, le code secret individualisé est lié au destinataire, ce qui constitue le moyen de garantir son identité, d’identifier et d’authentifier l’ami à l’origine de l’ouverture et des actions sur vos objets personnels : cette opération est une garantie du destinataire.

Vous souhaitez repérer qui parmi vos amis a ouvert le cadenas ?

Il faudrait que votre système de protection permette une identification affectant à chacun de vos amis une clé unique associée à son identité. Si vous souhaitez partager vos objets personnels avec vos amis et surtout savoir qui parmi eux a ouvert votre coffre pour subtiliser vos affaires, vous allez devoir créer un code secret individualisé par cadenas et par ami.

Un cadenas est une serrure actionnée par une clé, un système de roues chiffrées (code secret) ou les deux. Il constitue un système de protection dit « bi-clé » ou asymétrique, qui possède un mécanisme de fermeture (clé de fermeture) qui diffère de son mécanisme d’ouverture (clé d’ouverture). Par exemple, certains cadenas se ferment d’un simple clic par tout le monde, alors qu’ils ne s’ouvrent qu’avec une clé d’ouverture ou un code secret correspondant. Nous allons voir les différentes utilisations des 2 clés pour garantir certaines situations d’échanges qui pourraient être gênantes.

Le cadenas « bi-clé », également appelé cadenas à « clé maîtresse » vous permet en tant que propriétaire de choisir le code secret d’ouverture de la serrure. Vous tenez le cadenas ouvert avec cette « clé maîtresse », vous choisissez le « code secret individualisé » qui permettra ultérieurement  l’ouverture du coffre, vous le destinez à votre ami afin qu’il puisse actionner l’ouverture du coffre dès qu’il le recevra ou sera en sa présence.

Puisque seul celui qui possède le « code secret individualisé» ouvre, votre ami peut le faire. De plus, avec votre annuaire, vous pourrez connaître qui parmi vos amis a effectué l’ouverture et quelles actions ont été commises. Si vous avez plusieurs amis, il sera préférable de mettre en place un cadenas par ami et d’utiliser votre annuaire.

Comparaison des 2 cryptosystèmes : cryptographie à clé symétrique comparée à la cryptographie à clé asymétrique (également appelée à
Comparaison des 2 cryptosystèmes : cryptographie à clé symétrique comparée à la cryptographie à clé asymétrique (également appelée à "clé publique")
Êtes-vous certain de votre ami ?

Il n’est pas possible d’actionner la serrure de votre coffre personnel sans posséder le « code secret individualisé» ; néanmoins, il est possible que vous ayez envoyé ce code par erreur ou que votre ennemi l’ait subtilisé lors de sa transmission à votre ami ou en fouillant chez lui, ou même chez vous.

Il convient de vous assurer que seul votre ami puisse recevoir le « code secret individualisé » ; vous allez convenir avec lui d’utiliser sa propre boîte à clés pour y déposer son « code secret individualisé » de façon sûre. La méthode choisie repose sur un système de protection asymétrique où :

  • la serrure ne peut être ouverte qu’avec la clé privée du propriétaire de la boîte à clés, en l’occurrence votre ami ;

  • la serrure ne peut être fermée qu’avec le « code secret public » que vous aura délivré votre ami ; le propriétaire l’aura généré au préalable à partir de sa propre clé privée ;

  • la boîte à clés permet en outre d’y déposer votre coffre avec vos objets personnels, elle est en outre fermée pour son transport à l’aide de votre clé privée.

La boîte à clés de votre ami, paramétrée de cette façon, permet de déposer un secret - en l’occurrence le « code secret individualisé » de votre ami - tout en lui en réservant l’ouverture, à lui et à lui seul, puisqu’il est propriétaire de la boîte à clés et possesseur de la clé privée.

Avec cette méthode, vous avez la garantie que le code secret individualisé est bien transmis à son destinataire légitime. Si ce dernier retire le code secret individualisé de la boîte à clés, il pourra ainsi accéder à votre coffre fermé, puis l’ouvrir avec votre clé. De votre côté, vous gagnez la possibilité d’identifier celui qui ouvre, vous avez obtenu la garantie du destinataire.

Dans le cas où votre ennemi chercherait à obtenir le « code secret public » de la boîte à clés en vue d’utiliser le code secret individualisé de votre ami, il ne peut ouvrir, il lui faudrait pour cela subtiliser la clé privée de votre ami. Néanmoins, votre ennemi pourrait déposer comme tout le monde une clé dans la boîte à clés, cette clé pourrait être erronée, falsifiée pour tromper votre ami.

Application de la cryptographie à un message en clair
Application de la cryptographie à un message en clair
Vos amis sont-ils certains de vous ?

Vos amis ont besoin d’être assurés que c’est bien vous qui êtes à l’origine de leurs autorisations d’accès, ils pourraient être victimes d’un ennemi qui en usurpant votre identité (« Spoofing », « Mascarade ») chercherait à les rediriger vers lui ou vers un coffre piégé !

Pour éviter ces déboires, la garantie du destinataire n’est plus suffisante, il convient de garantir à vos amis la source (vous, dans notre cas). Nous avons montré comment vous pouviez vous assurer de l’identité de votre destinataire ; maintenant, il convient de donner les moyens à vos amis de s’assurer de votre identité, de vous reconnaître afin qu’ils sachent que c’est bien vous qui avez déposé un secret.

Il faudrait que vous soyez en mesure de signer votre dépôt. Vous allez convenir avec votre ami d’une méthode spécifique, à partir d’un système de protection « bi-clé » utilisant votre coffre de transport avec un cadenas pour y déposer la boîte à clés de votre ami ; la méthode choisie permet de vous identifier et d’identifier votre ami :

  • la serrure de votre coffre de transport ne se ferme qu’avec votre clé privée. En dehors de vous, personne ne peut la fermer, vous êtes le propriétaire de la clé privée à partir de laquelle vous allez générer un « code secret public » ;

  • la serrure de votre coffre de transport ne s’ouvre qu’avec le « code secret public » ;

  • vous adressez le « code secret public » à votre ami par un canal autre (courrier postal) ;

  • votre coffre de transport permet de déposer la boîte à clés de votre ami, elle contient le code.

Avec cette méthode, vous avez la garantie que votre ami, avec son code secret individualisé, est bien légitime pour accéder à votre coffre personnel. De son côté, il n’est pas piégé et est certain que c’est vous qui lui avez remis son code grâce à votre signature matérialisée par votre coffre de transport.

Dans le cas où votre ennemi chercherait une voie d’attaque, il pourrait à ce stade :

  • soit subtiliser votre coffre personnel, ce qu’il ne peut pas faire sans obtenir la clé privée de votre ami pour ouvrir sa boîte à clés ;

  • soit usurper votre envoi, ce qu’il ne peut pas faire sans obtenir votre clé privée pour refermer votre coffre de transport.

Il ne pourra pas aller plus loin ! La sécurité repose sur les clés privées qui doivent être protégées soigneusement.

Néanmoins, votre ennemi pourrait bénéficier de l’échange que vous entretenez avec votre ami pour mettre en place une mascarade avec vous et/ou votre ami, sans que vous puissiez comprendre de quelle mascarade il s’agit.

Votre ennemi est-il l’homme dans le milieu ?

Votre ennemi, il y a quelque temps, a intercepté le « code secret public » que vous aviez envoyé par mail à votre ami. Votre ennemi, alors informé de vos échanges avec votre ami, s’est mis à l’écoute de vos échanges et guette en particulier l’envoi de votre coffre de transport.

Entretemps, vous avez reçu un message forgé par votre ennemi, usurpant l’identité de votre ami. Ce message vous transmet, de la part de votre ami, le nouveau « code secret public » de sa « boîte à clés » ; votre ennemi possède bien entendu la clé privée correspondante.

Vous allez procéder à votre envoi. Vous déposez dans la « boîte à clés » de votre ami :

  • le « code secret individualisé » de votre ami afin qu’il puisse ouvrir votre coffre personnel ;

  • votre coffre personnel avec vos objets personnels et fermé avec votre clé privée.

Voici ce que vous devez faire ensuite :

  • vous fermez la « boîte à clés » à l’aide du faux « code secret public » ;

  • vous déposez la « boîte à clés » dans le coffre de transport ;

  • vous signez avec votre clé privée votre coffre de transport ;

  • vous envoyez le coffre de transport à votre ami ;

  • votre ennemi intercepte votre envoi, ouvre votre coffre de transport avec l’ancien « code secret public ».

Il accède alors au code secret individualisé qui permet d’ouvrir votre coffre fort.

Les fonctions de base des protocoles de cryptographie

Quel est son principe ?

On va utiliser une clé générée par une fonction mathématique « one-way » c'est-à-dire qu’on ne s’occupe pas tellement de savoir ce qu’est le message chiffré à partir d’un message en clair, mais simplement de savoir que quand on a appliqué la clé sur le message en clair, on obtient bien une seule et unique valeur, qu'on nommera m’, et que je vais comparer sans même connaître sa signification.

L’hypothèse est qu’on pourrait imaginer qu’un attaquant qui a m’ puisse également remonter à la source ; or, comme c’est une fonction mathématique « one-way »,  ça veut dire que la simple connaissance de m’ sans la clé ne me permettra jamais statistiquement de retrouver m. C’est pour ça qu’on dit que les protocoles de hash sont statistiquement sûrs, parce qu’il peut arriver qu’à force de chercher l’information le pirate y parvienne, ce qui est extrêmement peu probable sauf dans le cas des « collisions ».

La collision : c’est lorsque je vais utiliser la même fonction mathématique sur une clé donnée, je vais obtenir 2 informations identiques (mais c’est peu probable !).  Il est important de connaître cette base-là, car la quasi-totalité des mots de passe l’utilisent (ou utilisent des certificats qu’on traitera plus tard).

La cryptographie à clé symétrique ou secrète

Il existe plusieurs protocoles, plusieurs algorithmes qui peuvent être publiés ou non. Maintenant, nous allons voir le principe des cryptosystèmes à clé symétrique. Le nom d’algorithme à clé symétrique est donné car la clé pour fermer est la même que la clé pour ouvrir, on a un texte en clair qui peut être un mot de passe (c’est l’objet de cette bonne pratique) et ce texte clair va être chiffré, puis on va envoyer le message chiffré avec ce texte.

Avec cette « clé de chiffrement » partagée entre le serveur et le client, le serveur pourra ouvrir ce paquet fermé. Dans ce cas, le client et le serveur ont chacun la même clé et le même algorithme de chiffrement ; c’est le principe de base d'un cryptosystème à clé symétrique : la clé est la même pour fermer et ouvrir le message, c'est-à-dire qu’avant de commencer les échanges, le client et le serveur se sont mis d’accord, ils se sont échangé une clé.

Bien entendu, l’attaquant ne pourra pas déchiffrer puisqu’il ne possède pas la clé ; le message chiffré va circuler sur le réseau et parvenir au récepteur qui, lui, va pouvoir le déchiffrer puisqu’il a déjà reçu la clé. C’est le mécanisme à clé secrète, ou symétrique, puisque l’émetteur et le récepteur ont la même clé.

La cryptographie à clé asymétrique ou à clé publique

Donc tout à l’heure, on a vu que le principe à clé symétrique c’était simple, on a une clé chacun, la donnée circule de manière fermée et on peut utiliser la même clé pour produire le chiffrement ou le déchiffrement d’un texte.

Le problème avec ce principe est que si l’attaquant obtenait la clé de déchiffrement, eh bien effectivement, il pourrait déchiffrer automatiquement le chiffré. Cela sera de plus très grave si ce texte est le mot de passe.

Donc, on va avoir recours à un principe extrêmement subtil qui est de dire : « je ne vais pas utiliser la même clé pour chiffrer que pour déchiffrer » ;  c’est le principe des clés asymétriques. Donc je vais chiffrer mon texte avec une clé n°1 (appelée clé privée), je vais envoyer ce texte à Jean, mon récepteur, qui va pouvoir déchiffrer mon texte avec la clé n°2 (appelée clé publique) que je lui aurai donnée au préalable.

Cette méthode est en outre extrêmement intéressante parce qu’elle permet de prouver l'auteur du message chiffré, puisque seul le possesseur de la clé n°1 - la clé privée - peut être l'auteur de ce texte. Il ne peut déchiffrer en revanche ce texte qu'il a chiffré avec cette même clé. Seuls ceux qui auront la clé n°2, la clé publique, pourront déchiffrer le texte. Bien sûr, il est fort probable que le possesseur de la clé privée possède également la clé publique.

C’est assez simple et ressemblant au principe du cryptosystème symétrique, finalement ?

La clé publique peut être offerte à tout le monde ; ce n’est pas très différent sur le principe en soi puisque pour le cryptosystème symétrique, si l'attaquant tombe sur la clé secrète partagée, il peut déchiffrer ; et pour le cryptosystème asymétrique, si l'attaquant tombe sur la clé privée, il peut aussi avoir accès à l’information. Alors,  la clé privée ne doit être jamais révélée, on voit que toute la force de la sécurité du cryptosystème asymétrique repose sur la clé privée.

Mais en quoi est-ce vraiment différent de la clé symétrique ?

Le principe d’une clé asymétrique diffère car il utilise un couple de clés asymétrique : une clé privée et une clé publique ; ce système s'appelle également un cryptosystème "bi-clé" C={A,A'} parce qu'à une clé privée donnée A ne correspond qu'une et une seule clé publique A' ; je vais déjà expliquer que si je chiffre un message en clair M avec la clé privée A, seul le possesseur de la clé publique A' sera en mesure de déchiffrer ce message chiffré C. La clé A' est générée à partir de A à l'aide d'une fonction mathématique, par exemple ; une clé A" générée à l'aide d'une fonction différente ne fonctionnera pas. Inversement, en chiffrant le message M à l'aide de la clé publique A', on obtient le chiffré C. Seul le possesseur de la clé privée A correspondant à la clé publique A' sera en mesure de déchiffrer C.

Derrière ce principe, on peut tirer de nouveaux avantages comme identifier la légitimité de celui qui émet le message ou de celui qui le reçoit. Pour comprendre le principe de preuve qui lie l'auteur et l'action d'envoyer ou recevoir un message, on peut utiliser l'analogie du courrier postal :

  • quant on envoie une lettre recommandée, on veut prouver son envoi (principe d'imputabilité de la source) et en même temps on ne peut pas nier l'avoir envoyé (principe de non-répudiation).  À l'image de ce schéma, en chiffrant le message avec sa clé privée, le possesseur de la clé privée prouve son envoi et ne peut le nier ;

  • en revanche, on ne prouve rien sur le destinataire, quand il déchiffrera avec la clé publique correspondante, la présence de plusieurs possesseurs de clés ne pourra prouver ni l'identité ni la bonne réception du message ;

  • l’auteur de la lettre recommandée avec accusé de réception impute en plus la réception du courrier à son destinataire et ce dernier ne pourra nier avoir reçu ce courrier ;

  • À l'image de ce schéma, en chiffrant, seul celui qui a la clé privée et qui chiffre ce message peut être l’auteur, et tout le monde peut constater que par exemple c’est bien Marie.

Alors, vous allez me dire que ce n’est pas suffisant puisque ce qu’on cherche à faire, c’est quand même de protéger le texte chiffré, donc pour cela on va compléter cet usage avec un 1er chiffrement avec la clé publique de Marie, et Marie va chiffrer son texte avec sa clé publique, et seul Jean qui possède sa clé privée va pouvoir le déchiffrer.

Les certificats

Exemple
Utilisation du protocole asymétrique Diffie Hellman pour la signature électronique (Source : Opecst)

Nous avons donc atteint notre objectif qui était de faire circuler un message chiffré, de ne pas permettre à n’importe qui de déchiffrer ce message, et de pouvoir en plus identifier la source du message. Regardons cela par rapport à la clé partagée de tout à l’heure : n’importe qui qui a la clé est l’auteur du message, alors que là, seule Marie peut être l’auteure du message. Donc c’est ce principe de clé publique/clé privée qui sera utilisé dans le cas où on doit communiquer entre plusieurs acteurs.

Regardons cela de plus près, comment Jean a-t-il reçu la clé publique de Marie ? Puisque c’est une clé publique,  Marie a pu la lui fournir à travers le réseau, parce que même si l’attaquant obtient cette clé publique ce n’est pas grave, il va seulement déduire que Marie est l’auteur du message, ce qui n'est en soi pas un vrai problème, puisque c’est ce qu’elle cherche à prouver. Si maintenant Marie chiffre avec la clé publique de Jean, l’attaquant va obtenir le message chiffré, mais que va-t-il pouvoir faire ? Il ne possède pas la clé privée de Jean, sauf si Jean a été imprudent (et c’est là qu’il faudra faire attention), autrement il ne pourra rien faire => Ce principe est bien plus puissant que le principe de la clé symétrique. Le désavantage est que ces clés doivent être passées et sont beaucoup moins efficaces en termes de réseaux donc très souvent on va utiliser le principe de la crypto asymétrique pour passer des informations hautement sensibles et de petite taille. Par exemple, on pourra transmettre un mot de passe.

Comment fonctionnent ces protocoles ? Comment créer une signature ? Et comment cette signature sera-t-elle contrôlée par le récepteur ?

On est toujours avec Marie et Jean qui vont cette fois-ci utiliser les mêmes notions que nous venons de définir. Marie possède ses clés privée et publique, Jean possède également ses propres clés privée et publique ; lorsque Marie et Jean savent qu’ils vont communiquer ensemble, ils vont s’envoyer leur clé publique par le réseau.

Donc Marie au départ de la communication possède en plus de ses clés la clé publique de Jean et de même pour Jean. Que va faire Marie ? Elle envoyer ce qu’on appelle une empreinte, c'est-à-dire un « hash ». Cette fonction à sens unique permet de codifier de l’information avec sa clé privée, elle va donc envoyer un « hash » de sa clé privée sur le média à Jean, elle envoie en même temps par un autre canal sa clé publique, Jean va donc recevoir plusieurs choses : l’empreinte de Marie générée par un « hash », la clé privée de Marie et le message de Marie qui lui donne sa clé publique. Avec la clé publique de Marie, Jean va pouvoir hasher la fonction et comme on a vu que c’était une fonction à sens unique, il va obtenir une nouvelle empreinte (qu’on va appeler E’) qu’il va pouvoir comparer avec l’empreinte de Marie ; et si l’empreinte jaune et l’empreinte bleue sont identiques, ça veut dire que c’est bien de Marie que vient le message et Jean peut donc de cette manière-là contrôler la qualité de message.

Mettez vos logiciels à jour régulièrement

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers.

L'objectif sera de comprendre les enjeux de production et de sécurité des mises à jour de vos logiciels, applications et équipements présents dans votre entreprise. Vous découvrirez le mode de fonctionnement des mises à jour dans les situations les plus courantes, et également vous verrez des cas d'utilisation malveillante comme l'injection de code, le déploiement de code malveillant ou la divulgation d'informations confidentielles, afin que dorénavant vous puissiez comprendre et appliquer lors de vos mises à jours les bonnes pratiques de la sécurité proposées par l'ANSSI.

Quotidiennement, vos ordinateurs et serveurs fonctionnent avec des milliards de lignes de code ; ils sont sujets à des défauts de conception ou des évolutions, ils sont conçus pour se mettre à jour, ils vous proposent régulièrement d'effectuer ces mises à jour, mais à quoi servent-elles ? Sont-elles obligatoires ? Vous font-elles courir un risque ?

Nous allons nous interroger sur la façon dont ces logiciels pour la mise à jour fonctionnent.

Situations d'usage courant des mises à jour système et logicielles

Les logiciels installés sur les systèmes de l’entreprise peuvent présenter des défauts de conception (programmation) liés à l’éditeur de logiciel. Ces failles ouvrent des points d’entrée aux pirates qui en découvrent l’existence. Elles ne sont connues que de ceux qui « testent » et « fouillent », donc non visibles pour pour vous mais également pour les éditeurs.

Une mise à jour logicielle est utile lorsque des problèmes surviennent sur votre système ou vos applications, également pour obtenir de nouvelles fonctionnalités. Ces mises à jour, proposées suite à la détection d'une faille de votre système d'exploitation ou encore de vos logiciels et applications, seront effectuées dans le but de renforcer leur sécurité, de mieux les protéger face aux virus et vulnérabilités. Les ordinateurs, les logiciels ou même vos objets connectés émettent des notifications pour effectuer des mises à jour.

Enfin, en plus des problèmes liés à la sécurité et à la performance, il est possible que vos matériels et applications rencontrent des défauts de fonctionnement liés à des défauts de conception, comme des lenteurs au démarrage, une utilisation excessive de votre batterie, des fermetures inopinées de vos applications ; ce sont des "bugs" qui peuvent être corrigés par le biais de packages de mises à jour.

C’est pourquoi il est recommandé d'accepter ces actualisations.

Comment fonctionnent les mises à jour ?

À partir du moment où vous avez une entreprise avec un responsable informatique, vous devez être au courant de l’organisation de ces mises à jour qui peuvent être automatiques ou manuelles ; il est également possible de mixer les deux modes selon les objectifs recherchés.

Manuelles

Les déploiements manuels sont généralement des mises à jour logicielles strictement nécessaires, effectuées ainsi afin de  garder le contrôle sur ce qui est modifié ou pas, de valider le fonctionnement des logiciels après la mise à jour.

Le déploiement manuel de mises à jour logicielles consiste à sélectionner des mises à jour logicielles puis à lancer manuellement le processus de déploiement. Vous pouvez aussi ajouter certaines mises à jour logicielles à un groupe de mises à jour, puis déployer manuellement ce groupe.

Automatiques

Il existe des outils sur les clients, les navigateurs, les systèmes d’exploitation, qui vous permettent de faire un paramétrage automatique de la mise à jour. L’avantage de ce paramétrage est que le réseau complet sera mis à jour de la même façon ; donc, ça garantit l’administrateur de la sécurité que cette mise à jour va se faire sur tous les postes de travail sur le serveur, que les correctifs de sécurité vont bien être passés.

La menace

Mieux connaître les vulnérabilités logicielles

La vulnérabilité existe dans tous les appareils, logiciels et systèmes numériques (vos ordinateurs, vos serveurs et bien entendu les smartphones de vos usagers).

Avec des milliards de lignes de code développées par des milliers de développeurs, on comprend qu'il puisse exister des failles.

Eh oui, les vulnérabilités sont des failles pouvant être matérielles ou logicielles, touchant les systèmes d’exploitation, les applications, les protocoles… et cela produit un état défaillant accidentel ou intentionnel. Les failles peuvent être provoquées lors de la conception du développement du logiciel, donc très en amont de la présence du logiciel sur les ordinateurs ; mais cela peut être aussi lorsqu’on met en présence les logiciels et les protocoles - le déploiement - ou encore durant les opérations de maintenance du système d’information !

L'exploitation

Un système peut avoir énormément de brèches et ce n’est pas pour autant que l'une ou l'autre de ces failles vont constituer une entrée pour un attaquant. Il faut toute de même "porter" une menace, c'est-à-dire « intéresser suffisamment l’attaquant » pour qu'il imagine un mode opératoire qui le conduira à exploiter cette  faille.

Une vulnérabilité est donc une entrée susceptible d’être exploitée par un individu malveillant ; pour ce faire, il va mettre en œuvre un ensemble de programmes malveillants que l'on appellera pour cette raison un exploit. Un exploit informatique est donc un code source qui va automatiquement exécuter certaines fonctions afin de s'introduire via cette brèche. Le but n'est pas de s'arrêter là, mais de gagner des privilèges sur les ressources ou des informations. Le plus subtil est que ce programme peut être appelé à distance sans la présence physique de l'attaquant (on parle de "remote exploit"), mais il peut également être en local sur le système (on parle de "local exploit"). Les vers sont des exemples de codes malveillants exploités à distance et programmés pour se diffuser automatiquement, en employant comme vecteur de diffusion un ordinateur.

Cela peut être vos logiciels, vos systèmes d’exploitation quels qu’ils soient (MAC, Windows, Linux), les interfaces,  et aussi les pilotes (drivers) de vos ordinateurs ; il y a plein de petits logiciels « exécutables » qui sont là pour assurer le bon fonctionnement de votre ordinateur. Par exemple prenons l'une des vulnérabilités souvent citées en référence, le cas de ce petit programme Windows destiné à piloter votre imprimante ; il s'appelle "spoolsv.exe". Pourtant, quand un virus vous a attaqué, ce petit programme a été substitué par un autre, c'est un leurre mis en place pour surveiller et voir vos données confidentielles telles que vos mots de passe, vos actions effectuées sur le serveur… Ce petit logiciel est exécuté de façon naturelle par votre système pour piloter  votre ordinateur et votre imprimante. Comme ce code garde la même apparence pour pouvoir s'exécuter normalement, il n'y a aucune raison que les mécanismes de protection de votre système le stoppent ou en restreignent l'exécution. Lorsque l'attaquant a réalisé cet exploit, il a remplacé les instructions de base par les siennes pour qu'elles permettent de détourner vos données ; le petit code malveillant a gardé le même nom, il peut ainsi vous espionner en continu sans besoin d'action d’exécution de votre part.

Comme le système d'exploitation, les administrateurs  voient l'exécution de ce code comme quelque chose de légitime ; le seul fait visible est que ce « backdoor »  peut prendre 99 % de vos ressources CPU (le processeur est occupé en permanence) ! À ce stade, on est en devoir de surveiller tous les composants du système d’information susceptibles de porter ces vulnérabilités.

Un référentiel mondial pour identifier les vulnérabilités

Lorsqu’une faille est détectée, on dit qu’il s’agit d’une « 0 Day » ; cela signifie qu’elle n’a pas encore fait l’objet de publications ou de correctifs par les constructeurs. Elle est alors particulièrement dangereuse, car les impacts et la façon dont elle contribue au mode opératoire de l'attaquant sont connus.

Exemple
Type de bulletin de diffusion d'une vulnérabilité émise par un CSIRT (Computer Security Incident Response Team) ou CERT/CC (Computer Emergency Response Team).

Mais comment sont gérées ces vulnérabilités ?

Toutes les vulnérabilités de tous les systèmes (matériels, logiciels…) sont référencées dans une banque mondiale des vulnérabilités  appelée CVE (Common Vulnerabilities and Exposures), lancée par le MITRE en 1999 dans le cadre d'un effort communautaire soutenu par le département de la Sécurité intérieure des États-Unis (DHS/Department of Homeland Security). Depuis 2005, le NIST (National Institute of Standards and Technology) met à disposition une base de données nationale des vulnérabilités (NVD), puissante, entièrement synchronisée avec la liste CVE, afin que toute mise à jour de CVE apparaisse immédiatement via une plateforme où chaque CVE est décrite.

Il y a 93 organisations en décembre 2018 qui participent à la maintenance de ces vulnérabilités ; on trouve parmi elles des éditeurs et vendeurs de logiciels, des Bug Bounty Programs, des entreprises privées, des laboratoires de recherche et des industries autour de ces centres opérationnels de sécurité (SOC : Security Operations Center). Plus couramment, nous verrons que ces centres s'appellent des CERT (Computer Emergency Response Team) ou des CSIRT (Computer Security Incident Response Team). On peut noter les "Bug Bounty Programs" qui sont des challenges soutenus par des chercheurs et aussi par les éditeurs  logiciels, en vue d'améliorer en continu la qualité logicielle, de découvrir, décrire et expliquer des bugs avant qu'ils ne soient exploités de façon malveillante. On a toute une catégorie d’acteurs qui sont derrière la gestion de ces vulnérabilités pour vous tenir informés ;  les entreprises sont impliquées au niveau mondial sur la maintenance de cette base de données.  Sur ces 93 autorités habilitées à définir les CVE, 60 sont d'origine nord-américaine, 1 est française.

Dans la base de données CVE, on retrouve l’identifiant. Les CVE sont gérées aux États-Unis, ce qui explique le gros rond brun. Les CVE sont référencées par un numéro de CVE, par exemple : CVE-2018-1001 où CVE représente la base, 2018, l'année, et 1001, le numéro d’ordre de la vulnérabilité dans l’année.

Par exemple, le CVE-2017-0144 identifie une faille sur le protocole SMB,  l’une des dernières vulnérabilités à l'origine d'une attaque massive par ransomware (Wannacry),  ayant touché plus de 200 000 ordinateurs dans environ 100 pays, pour l'un des grands groupes automobiles français.

Les centres de sécurité opérationnels pour vous accompagner dans la gestion des vulnérabilités de votre SI

On voit que c’est toute de même assez technique pour pouvoir comprendre ces CVE, donc dois-je connaître toutes ces informations hyper techniques ?

Non ce n’est pas nécessaire car le CVE n’est qu’une référence qui est en relation avec les professionnels de la sécurité ; ils font tout le travail pour vous.

Ces centres sont des CISRT ou des CERT aux États-Unis. Pour information, ces centres de sécurité maintiennent des équipes qui vont vous permettre d’assurer votre niveau de sécurité en fonction d’éventuels contrats que vous aurez signé avec eux ; ce sont donc des sociétés de services externes, qui peuvent tout à fait être organisées de manière interne sur des sites suffisamment importants pouvant financer une équipe. L'ANSSI référence en France les prestataires de confiance auxquels vous pouvez vous adresser pour vous accompagner.

L'objectif de ces centres de sécurité est d'organiser les différentes formes de réaction aux incidents informatiques et de permettre la mise en place des remédiations qui en découlent. Ensuite, ces CERT sont pour la plupart publics ; certains sont souverains pour les administrations, comme le cas de l’ANSSI qui depuis plusieurs années a déployé son propre CERT. Enfin, il peut y avoir des CERT privés pour des entreprises, appelés des CSIRTcommerciaux, qui proposent des services de veille, de réponse à un incident, ou d’investigations Forensic à leurs clients.

Les bonnes pratiques de sécurité pour la gestion des mises à jour logicielles

Les bonnes pratiques vous conduisent à faire cette 1re organisation, mais êtes-vous responsable dans l’exploitation de ces failles ? Votre part pour l’éviter est-elle importante ? Devez-vous vous reposer sur les sites officiels pour vous accompagner ?

Oui les 3 réponses sont vraies ! Vous êtes responsables si vous ne mettez pas à jour vos logiciels, à partir du moment où les mises à jour sont disponibles. Vous pouvez avoir même une application légale si vous conduisiez un attaquant à se servir de vos systèmes pour se tenir sur des systèmes tiers. Votre part pour éviter ces attaques est très importante, puisqu’il vous suffit d’adopter l’organisation présentée précédemment pour les mises à jour, et vous pouvez même vous garantir de la façon que l'on a vue tout à l’heure via un VPN de vous reposer sur des sites officiels qui vont vous accompagner.

La description des bonnes pratiques indique également qu’il faut pouvoir détecter et vous alerter de ces mises à jour. Donc, les outils que vous avez utilisés pour mettre à jour vos postes de travail ou serveurs doivent vous permettre de diffuser des alertes, et éventuellement de mutualiser plusieurs postes de travail et d’appliquer les mises à jour régulièrement. Vous allez définir une politique de sécurité qui va être passée avec un externe, dans le cas où vous souscrivez un abonnement à des CSIRT. Vous allez mettre en place des mesures de protection des systèmes d’exploitation, des logiciels et des équipements ; il faudra donc pour la dernière recommandation configurer les logiciels pour la mise à jour automatique, télécharger les correctifs de sécurité disponibles au moment où ils sont publiés et en vous assurant que vous êtes bien sur l’éditeur de logiciel.

Téléchargez et déployez vos mises à jour en toute sécurité

Afin de s'assurer que les mises à jour qui proviennent de sites des éditeurs externes à l'entreprise ne viennent pas de sites pirates désirant mettre à jour vos logiciels de façon erronée, l’administrateur de sécurité met généralement en place un canal sécurisé entre l'éditeur et ses machines pour déployer ces mises à jour,  il s'agit d'un serveur proxy qui va être le seul à être connecté sur les serveurs des mises à jour (les serveurs des mises à jour peuvent être des éditeurs d’antivirus ou des systèmes d’exploitation comme Apple, Microsoft… ou d’applications particulières).

Ces éditeurs vont mettre à votre disposition des fichiers sources, et généralement vous allez avoir une clé VPN chiffrée qui s’établit entre votre serveur proxy et la source ; ensuite, des clés de chiffrement que vous allez changer régulièrement. En utilisant ce moyen, vous allez garantir l’authenticité des sources.

Tenez-vous informé de toutes ces vulnérabilités

Donc, ai-je intérêt à travailler avec un CERT ou un CSIRT et si oui, comment faire ? Si vous êtes en responsabilité de la sécurité informatique de votre entreprise, vous avez intérêt à vous mettre en relation avec un CERT ou un CISRT.

Il y a plus de 320 CERT aujourd'hui qui sont déployés en Europe, et plus d’une trentaine en France.

La collaboration avec ces centres de sécurité est obligatoire pour certaines entreprises ; par exemple les opérateurs d’importance vitale vont devoir passer par un CSIRT interne ou externe. Dans le cas d’un CSIRT externe, généralement le modèle économique se traduit par un abonnement mensuel ou annuel. Vous n’êtes pas obligés d’être abonnés à un CSIRT-CERT, vous pouvez déjà mettre en place, si vous êtes une petite entreprise, une petite équipe pour organiser les mises à jour de vos antivirus (ce qui est fondamental), de vos logiciels et de vos systèmes d’exploitation. Mais attention, ces sites de mises à jour que vous consultez peuvent également à leur tour être infectés de « backdoors » ; comment vous assurer que le site où vous allez chercher des mises à jour ne va pas entraîner une attaque ? Il est évident que vous ne pouvez pas vérifier le code source de chaque mise à jour, mais si vous êtes responsable de la sécurité informatique, il vous revient de mettre en place un processus de mise à jour via, par exemple, des VPN avec votre fournisseur.

Appliquez la mise à jour à un IOT

Les objets connectés sont-ils vulnérables ? Doivent-ils se mettre à jour ?

Bien évidemment, les recommandations traitées précédemment s’appliquent plus que jamais aux objets connectés : les lignes de code sont encore plus exposées pour ces petits objets, souvent "bon marché", donc bien souvent moins bien testés du point de la qualité logicielle mais également de la sécurité !

Ces petits objets sont particulièrement vulnérables de par la mobilité qu’ils entraînent, mais également l’embarquement des logiciels et des systèmes d’exploitation. Bien souvent ces produits sont peu matures, ils ont connu un déploiement massif sur le marché. Mais il y a un autre aspect très important, c’est qu’ils ont été développés par des entités bien souvent différentes de celles des systèmes d’exploitation pour votre PC ou vos serveurs, ce qui a introduit d’autres vulnérabilités (pas forcément les mêmes que celles d’avant) qu’il faut également surveiller. En conclusion, on peut souligner que la majorité des attaques exploitent une vulnérabilité via un objet connecté.

Cela augmente la tâche de l’administrateur de sécurité : il y a une multitude de vulnérabilités parce qu’il y a une multitude d’objets connectés, avec parfois des systèmes d’exploitation ou des applications propriétaires ; il faudra donc bien garder la même attention. Cependant, il est parfois difficile de mettre à jour ces objets connectés, car certaines mises à jour demandent un arrêt total dans leur fonctionnement ; ce qui n’est pas toujours simple dans le cadre de la mobilité. Les clés USB sont un exemple très frappant de ces vulnérabilités et difficultés de gestion.

Pour conclure, la menace lors de la mise à jour logicielle peut être importante, c'est un moyen potentiel de s'infiltrer ; ne pas faire les mises à jour vous expose à bien plus de déboires.

Il faut donc gérer attentivement ces mises à jour, les bonnes pratiques ci-après vous conseillent, prenez acte de vos éditeurs de logiciels et si vous êtes un chef d'entreprise éclairé, que vous avez un SI à gérer, n'hésitez pas à vous faire accompagner par des professionnels !

Renseignez-vous sur vos utilisateurs et vos prestataires

L'objectif sera de comprendre les enjeux de production et de sécurité des privilèges (habilitations ou droits) que vous donnez à vos utilisateurs et prestataires qui viennent travailler chez vous. Vous découvrirez le mode de fonctionnement des privilèges dans les situations les plus courantes, et également vous verrez des cas d'utilisation malveillante, comme l'élévation de privilèges (accéder au compte root ou admin) ou la divulgation d'informations confidentielles, afin que dorénavant vous puissiez comprendre et appliquer les bonnes pratiques de la sécurité à vos droits, proposées par l'ANSSI.

Cette partie appartient à ce qu’on appelle « la gestion des droits ou des habilitations (privilèges) » des utilisateurs d'un système informatique ; elle succède assez directement et assez naturellement à ce que l’on a vu juste avant sur l’authentification.

Situations d'usage courant des privilèges

Tout d’abord, ce qu’il faut savoir : que ce soient le système d’exploitation Linux ou bien Windows, tous les systèmes d’exploitation permettent de gérer des autorisations sur les ressources, les répertoires ou les activités des utilisateurs. Cette fonction est très importante et définit généralement les actions de base que peut faire un utilisateur, ce que l'on appelle son niveau de privilège.

La plupart des systèmes d'exploitation intègrent ces mécanismes, authentification et autorisations ! (Vos mobiles,  vos ordinateurs portables....). Les autorisations sur les fichiers et répertoires ne sont pas fixées définitivement, elles sont paramétrées par les administrateurs et peuvent être changées, afin de s'accommoder aux nouveaux besoins d'usage de votre système (d'exploitation).

Principe général d'authentification puis d'autorisation : l'identification vise la présentation des identités, l'autorisation vise l'affectation de ressources système connues.
Principe général d'authentification puis d'autorisation : l'identification vise la présentation des identités, l'autorisation vise l'affectation de ressources système connues.

Donc, en fait, une fois que la partie "authentification" est arrivée (gauche), on va avoir une 2e phase qui va être l’acceptation ou pas des privilèges qu’on va attribuer à un utilisateur du système (d'exploitation) sur les ressources.

Les systèmes d’authentification sont très différents sur la façon de procéder. Il y en a qui vont réutiliser les mêmes identifiants, d’autres qui vont vous donner les nouveaux identifiants. Donc c’est cette partie-là que l’on va approfondir pour comprendre quelles sont les autorisations dont vous bénéficiez pour aller dans le système d’exploitation.

Linux, Mac, et les *UX
Apprenez à connaître vos droits

Afin de connaître le niveau de privilège  d'un utilisateur et d'un groupe sur un répertoire ou un fichier, tapez l'une ou l'autre des commandes :

ls -l <nomrepertoire>
id <nomuser> (retourne vos appartenances à vos groupes)
more /etc/password

Elle permet de consulter vos droits, reportez-vous au site de Wikipedia si vous voulez aller plus en détail : https://fr.wikipedia.org/wiki/Permissions_UNIX#Norme_POSIX.

-rw-r--r-- 267 veronique GroupeDeVeronique 4096 2018-10-29 23:09 Cnam.txt
drwxr-xr-x 512 veronique GroupeDeVeronique 4096 2018-10-29 23:09 CnamDirectory

Ainsi, dans la première colonne, on retrouve les symboles pour informer des droits sur un fichier ou un répertoire ; pour le fichier Cnam.txt, on a -rw-r--r-- et pour le répertoire CnamDirectory on a drwxr-xr-x

Cette commande fait apparaître un groupe de 10 caractères ; 1e premier représente un switch, et les 3 groupes de 3 symboles suivants, les niveaux de privilège du propriétaire, du groupe, puis des utilisateurs.

0 123 456 789
- rw- r-- r--

Par exemple, c'est un fichier dont, dans l'ordre, le propriétaire a : rw-, l'utilisateur appartenant au groupe a :, les autres utilisateurs ont :  r--,  r--

Le 1er caractère informe sur la nature de la ressource : répertoire ou fichier :  -  pour fichier, répertoire, pour lien symbolique... ; Cnam.txt est un fichier et CnamDirectory un répertoire.

Le premier groupe de 3 caractères informe sur le niveau de privilège du propriétaire : le propriétaire de Cnam.txt a les droits de lecture et écriture (mais pas d'exécution) rw- alors que sur le répertoire CnamDirectory il a les droits de lecture et écriture rwx.

Le second groupe de 3 caractères informe les niveaux de privilège de l'utilisateur du groupe ; ce sont : r-- :

Enfin, les autres utilisateurs  n'ont que le droit de lecture (pas d'écriture, ni d'exécution).

Les comptes par défaut

Voilà ce que permettent de faire ces outils de droits, on comprend que finalement si l’on est dans un répertoire hyper stratégique comme le système d’exploitation, qu’on veut exécuter un service, un code ou une application, lire ou arrêter des services, eh bien, ça devient tout à fait possible.

Alors pour pouvoir réaliser ça, les systèmes d’exploitation comportent également ce qu’on appelle des comptes par défaut. Par exemple, sur un système Linux on parle de root, sur un système Windows on parle de rôle d’administrateur.

Les comptes par défaut sont des comptes créés lors de l'installation du système d’exploitation en vue d'un fonctionnement de base ; ils ont des privilèges spécifiques et connus de tous !

Modifiez vos droits

Sur un système d’exploitation Linux ou Windows,  vous pouvez  modifier des droits  avec des commandes système ; par exemple avec  « chmod » sur Linux.

Certains droits sont de niveau de privilège plus ou moins élevé, par exemple root ou admin sont beaucoup plus élevés que user, et permettent de réaliser des commandes pour modifier les accès au système.

Par exemple, sur un système d’exploitation Linux ou Windows, vous pourrez faire modifier des droits « chmod » qui sont des droits de l’admin pour le user ; c'est-à-dire demander une élévation de privilèges de l’utilisateur en cours, on a des commandes comme par exemple :

  • sur Linux : « chmod », « suid » ou « su » qui vont permettre de le faire ;

  • sur Windows :  "runas".

Donc, il va y avoir bien sûr là encore un second niveau de contrôle qui va permettre d’empêcher l’utilisateur d’accéder à des droits élevés, tout simplement pour éviter des erreurs lors de ses interventions ou éviter des actions malveillantes.

Consultez les propriétés de vos fichiers et répertoires à l'aide du clic droit de votre souris, en vous positionnant sur le répertoire ou le fichier que vous souhaitez analyser !

15461653393549_privileges.png
Outil de base pour la modification des droits de vos utilisateurs dans l'onglet Sécurité
Au bilan

Que ce soit sous Linux ou Windows, un utilisateur pourra selon ses niveaux de privilèges  :

  • lire un répertoire, à l’intérieur du répertoire, c'est-à-dire : lister les fichiers présents dans ce répertoire, visualiser les droits d'accès d'un utilisateur sur ce répertoire... ;

  • lire le contenu d'un fichier = l’ouvrir ;

  • modifier le répertoire = y ajouter ou pas des fichiers ;

  • modifier le fichier en écriture = y ajouter des textes ;

  • exécuter une application dans un répertoire.

Dans l’endroit où se trouve l’utilisateur, il va pouvoir exécuter par exemple un logiciel, une application, un outil de supervision, mais également un backdoor que lui aurait mis éventuellement un attaquant. Donc, ces fonctions d’exécution, on comprend qu’elles ne sont pas anodines et il va falloir les surveiller.

Menaces

Cette fonction est extrêmement importante, parce que (comme vous le voyez dans la partie droite du slide) je peux taper une action qui est un peu délicate, par exemple tcpdump, qui est un outil de "sniffing réseau", et qui permet de voir tout ce qui se passe sur le réseau.

Eh bien, si mon système d’exploitation est bien paramétré, normalement il ne doit pas m’autoriser à exécuter cette commande. Par exemple, nous pouvons avoir : « operation not permitted ». Donc, selon les systèmes d’exploitation on va pouvoir plus ou moins finement empêcher ces actions.

On comprend bien que l’objectif de l’attaquant va être :

  • un gain de privilège (ce qu’on appelle : élever des privilèges) et le privilège idéal pour lui c’est l’administrateur,

  • une prise de contrôle totale de la machine et du réseau auquel elle appartient.

Eh bien, ça c’est une pratique qu’il va falloir prendre en compte : ne JAMAIS permettre sur un système, qu’il soit  poste de travail ou serveur,  d’utiliser les comptes administrateurs admin ou root.

Oui, vous allez me dire : si vous n’êtes pas admin de votre machine, vous ne pourrez pas installer de nouvelles applications, ni bénéficier de nouveaux logiciels. Ceci est vrai, mais quand vous êtes en entreprise, l’installation de nouveaux logiciels va devoir être régulée et autorisée par les admins.

Un autre point important que l’attaquant va faire lorsqu’il est désespéré parce qu’il ne peut devenir ni root ni admin : il va essayer d’obtenir des comptes génériques. Les comptes génériques sont des comptes mis en place par les éditeurs de logiciels ou de votre système d'exploitation (Mac, Windows, Linux) et qui ont un peu plus de droits qu’un utilisateur normal, parce que ces utilisateurs privilégiés doivent juste installer un logiciel donné afin d'élever les privilèges en admin, juste pour les  répertoires de ce logiciel. Alors l’attaquant, qui connaît bien tous ces logiciels, par exemple Microsoft Word, ou bien comment fonctionnent ces comptes génériques,  va les tester tous une fois qu’il sera sur la machine ; il va essayer de rentrer avec ces comptes génériques qui n’auront pas été désactivés par l’admin.

Les bonnes pratiques

Donc pour pouvoir lutter contre ça, on propose de gérer les autorisations des utilisateurs, des partenaires par le biais d'un contrôle d'accès et d'une optimisation des privilèges.

Vous pourrez vous référer au guide de l'ANSSI pour les détails de toutes les cartographies du SI . Les actions principales concernant les privilèges vont se traduire ainsi :

  • dressez une liste de vos utilisateurs, des groupes ;

  • dressez une liste des ressources ;

  • dressez une liste des droits des groupes sur les ressources ;

  • dresser une liste des usagers dans les groupes.

Matrice des droits
Matrice des droits
Un contrôle d'accès AAA

On va tout d'abord mettre en place des services d'authentification, d'autorisations et  d'audit qu’on appelle également triple A (pour Authentification, Authorization, Accounting/Auditing). Ils vont avoir 2 fonctions de base :

  • la 1re, nous l’avons déjà vu pour les « passwords », c’est l’authentification avec un identifiant et un mot de passe ;

  • la 2e, ce sont les capacités à affecter les autorisations plus ou moins finement.

Un des outils aujourd’hui les plus réputés et les plus robustes vis-à-vis de la sécurité, c’est  Kerberos. Kerberos va faire de l’authentification ; il est présent sur les systèmes Windows et va permettre de mettre en place des autorisations en fonction des profils et des identités. Donc, ça c’est fondamental ! Et nous allons voir maintenant comment fonctionne Kerberos.

Processus d'authentification Kerberos
Processus d'authentification Kerberos 

Kerberos offre les 3 services représentés par 3 serveurs : 1 serveur d’authentification (dont on connaît maintenant les différentes actions) et un distributeur de tickets. Le ticket va être justement une espèce de badge permettant de rentrer dans différents sas du système d’information comme certains répertoires, certains périphériques : imprimante ou d’autres objets connectés ; ce ticket va aussi vous donner droit ou pas à exécuter certaines actions.

Premièrement, quand vous êtes devant un serveur Kerberos, vous allez lui demander d’accéder au service par le principe du « secret partagé », donc cryptographiquement, le serveur Kerberos vous connaît déjà dans une base comme on a vu tout à l’heure, avec une clé qui est la même que celle que vous avez. Selon ce que vous allez faire, vous allez avec cette clé, chiffrer votre nom d’authentification avec quelque complexité : vous allez ajouter notamment un « timestamp » ( = ticket d’heure) qui va vous donner finalement une unicité  dans le temps et dans l’espace.

Donc, vous allez recevoir de la part du serveur d’authentification un ticket unique qui aura été donné lui aussi en fonction des informations que vous avez données (c’est l’intérêt, c’est dynamique !),  et avec ce ticket vous allez pouvoir vous présenter devant le serveur distributeur de tickets, qui va refaire la même opération que le serveur d’authentification, mais en vous donnant un nouveau ticket pour être sûr que ce ticket-là n’aura pas pu être forgé par un attaquant qui aurait écouté les informations entretemps.

Et c’est avec ce tout nouveau ticket que vous allez vous présenter devant les ressources ; donc à chaque fois vous allez recevoir un nouveau ticket pour aller sur l’imprimante, le serveur de répertoire… Et vous allez de cette manière (de manière unique) « vous  signer », vous authentifier à chaque fois sur la ressource. Donc on comprend que de cette manière, on a une vérification très forte de vos actions et de vos activités, et en plus vous êtes tracé, c'est-à-dire que vous laissez des logs dans des journaux d’événements et que l'on va pouvoir remonter toutes les activités que vous avez faites.

Les moindres privilèges

Les autorisations filtrent l’accès à certains fichiers ou dossiers pour un utilisateur donné.

Le principe des moindres privilèges impliquera que les autorisations associées à une tâche, une application, un répertoire ou un fichier seront strictement nécessaires à l'exécution du code menant à bien ses fonctionnalités.

Vous devrez, dans un environnement poste de travail, empêcher un utilisateur d’accéder à l’un de vos répertoires. Au sein d'un environnement partagé, réseau ; l’intérêt est encore plus évident, il vous faudra alors interdire à des utilisateurs externes l’accès à certains fichiers.

Challenge pour les objets connectés

Ce mécanisme est un mécanisme très important, mais il ne pourra pas s’effectuer correctement par l’administrateur si lui ne s’est pas organisé au préalable avec une grille pour pouvoir comprendre que M. Dupont Alain a les autorisations sur le fichier1, le répertoire1, l’imprimante2, etc. Donc, on va faire une grille, qui va permettre de préparer la mise en place et le paramétrage sur le système d’exploitation de ses habilitations. Cela va nous donner au final une liste de contrôle d’accès ; c’est ce qu’on appelle des ACL, qui vont en fonction du nom de l’utilisateur, de l’identité, de son password, du ticket qu’il va obtenir du logiciel Kerberos, des droits sur les ressources de manière très stricte et très organisée.

Cet aspect est d’autant plus important pour les objets connectés qui sont généralement en dehors du système d’information, en mobilité.

Donc, l’un des challenges des prochaines années pour la gestion des privilèges sera de proposer des outils permettant de faciliter la gestion des objets connectés à l’intérieur du système d’information.

Effectuez des sauvegardes régulières

Ce cours a été réalisé en collaboration avec le Conservatoire national des Arts et Métiers 

L'objectif sera de comprendre les enjeux de production et de sécurité des sauvegardes de vos données applicatives, métiers et techniques stockées sur les diverses aires de stockage (disques durs, clés...) de votre entreprise. Vous découvrirez le mode de fonctionnement des sauvegardes dans les situations les plus courantes, et également vous verrez des cas d'utilisation malveillante, comme le ransomware, ou d'incidents graves qui pourraient paralyser l'activité de votre entreprise, afin que dorénavant vous puissiez faire vos sauvegardes, les tester, reprendre votre activité en cas d'attaque complexe ; bref, appliquer les bonnes pratiques de la sécurité proposées par l'ANSSI.

Tout d’abord, nos données représentent le patrimoine informationnel de l’entreprise mais également le nôtre ; il faut savoir que tous les 2 ans, le nombre de données numériques double dans le monde. Continuellement, les entreprises qui se sont organisées pour effectuer leurs sauvegardes doivent s’adapter et transformer leurs systèmes de sauvegarde ; aussi, un système de sauvegarde est quelque chose qui est en continuelle adaptation. Nous sommes tous responsables de nos données, mais également de celles des autres qui nous les ont confiées. Donc, de la simple copie de fichier à la sauvegarde du disque dur, le travail de sauvegarde repose sur nous et sur notre responsabilité.

Qu’est-ce qu’un nouveau support de sauvegarde ?

Illustration
Les différentes situations d'usage de la sauvegarde de vos données, exemple en local sur votre PC, ou depuis votre PC sur un serveur de l'entreprise, ou sur un serveur externe en cloud, ou encore à votre domicile, depuis votre PC en local ou sur votre
Ce nouveau support peut être local ou distant

Il est local si les données ne transitent pas sur un réseau, l’exposition aux menaces extérieures est donc réduite mais le site de stockage peut être détruit ; il faudra donc apporter des solutions de type « site recovery » qui vont permettre de retrouver toutes les données du site de l’entreprise.

Il peut y avoir aussi des sauvegardes distantes : les données sont exposées pendant l’échange, certes, mais cela permet de centraliser les sauvegardes vers des lieux mieux organisés et mieux gérés, d’avoir les outils de sauvegarde beaucoup plus puissants.

Illustration
Architecture et principe des sauvegardes distantes
On peut aussi avoir des sauvegardes dites mobiles ou fixes

Le support mobile signifie que la sauvegarde est éphémère, mais permet en général de collaborer avec vos collègues via par exemple  une clé USB, un drive externe en Cloud, un téléphone ou un objet connecté ; l’exposition aux menaces est donc très forte parce que le média est souvent non maîtrisé. Ce support peut être détourné par toutes sortes d'acteurs, des agents de publicités souhaitant observer vos comportements pour insérer des publicités adaptées lors de vos futures navigations, à des individus mal intentionnés injectant des codes malveillants allant jusqu’à détruire ou prendre la main sur vos PC. Par exemple, la fameuse attaque « Stuxnet » a commencé par un échange de fichiers sur une clé USB.

Le support peut être fixe, comme par exemple les disques durs attachés à un serveur maîtrisé ; dans ce cas, le support garantit la maîtrise de l’information, mais il peut être défaillant, donc il faut des disques dits « corporate » pour garantir les données (nous en reparlerons plus en détail tout à l’heure).

Ce support peut être privé ou public

Privé signifie que les données ne sont connues que des serveurs que vous possédez, et qu'elles ne transitent pas via un réseau public. En revanche, les coûts de stockage peuvent devenir phénoménaux du fait que les données doublent tous les 2 ans, et puis l’indexation des données doit être gérée ; en effet, il ne suffit pas de déposer un fichier sur un support, encore faut-il pouvoir organiser vos données afin de les retrouver facilement, il faut alors optimiser le stockage.
En revanche, on peut adresser ces données sur un réseau public tel que le Cloud ; dans ce cas, les données sauvegardées sont centralisées, là les opérations d’indexation, de gestion et d’optimisation du stockage vont être opérées par votre fournisseur de services et mutualisées en réduisant les coûts.

La menace

Sauvegarder, c’est dupliquer sur un nouveau support considéré comme sûr, dupliquer signifie aussi qu’il faut rester prudent afin que ces données dupliquées ne soient pas la cible d'individus malveillants, et que nous n'exposions pas ceux qui nous les ont confiées.

On peut souligner que les mauvais équipements de sauvegarde risquent d'endommager vos données de façon irréversible, que des logiciels vulnérables choisis auprès d'éditeurs de logiciels non référencés vous conduisent à la perte de leur intégrité, et enfin qu'une mauvaise stratégie de sauvegarde, sans rotation ou sauvegarde complète, sur un même lieu du futur sinistre, vous feront risquer une perte complète de votre exploitation.

Quant à la duplication de données via des clés ou disque USB, elle vous fait encourir une divulgation des données et une perte de votre image vis-à-vis de données mal maîtrisées.

Les vulnérabilités et attaques sur les sauvegardes
AUVERGNE-RHÔNE-ALPES-PUY-DE-DÔME

Clermont-Ferrand : victime de pirates informatiques, un chef d’entreprise met la clef sous la porte.

Exemple
Conséquence malheureuse d'un code malveillant visé par un "ransomware"

Les logiciels de sauvegarde peuvent être mal configurés ou mal développés et proposer des outils d'administration peut fiables ; dans ce cas, un exploit pourrait permettre à un attaquant d'élever les privilèges sur une machine, d'injecter des codes malveillants, ou de bypasser le système d'authentification.

Au bilan

Vous devrez faire face à un choix : ou vous exposer en cas de sinistre d'origine accidentelle ou malveillante à une perte totale de votre activité, de votre histoire, en ne  sauvegardant pas vos données, n'assurant pas de  redondance de vos informations pour fonctionner,  pour privilégier la mobilité, pour réduire les coûts, ou vous protéger en les sauvegardant, même à distance.

En conclusion, la stratégie générale de la sauvegarde en entreprise sera de trouver le meilleur équilibre :

  1. Réduire les coûts et augmenter la qualité des opérations de sauvegarde en centralisant ces opérations, par exemple au sein d'une même équipe d'experts, un même site, un même outil logiciel.

  2. Garantir la perte des données en assurant leur redondance par duplication,  ne pas trop les dupliquer afin de garder le contrôle sur la diffusion de ses données, les dupliquer suffisamment en cas d'accident ou de malveillance sur les supports, les réseaux et les systèmes.

Les services de sauvegarde en réseau pour votre système d'information

Donc parmi ces différents solutions, vous avez aujourd'hui ce qu’on appelle les réseaux de stockage qui sont réputés pour être les plus sûrs, ils présentent l’inconvénient de recourir à une société informatique ou un informaticien ou une société spécialisée SSII.

Qu’est-ce qu’un réseau de stockage ? Une architecture technique fiable.

En anglais SAN (comme Storage Area Network) et NAS (comme Network attached storage) sont des architectures techniques qui rattachent des batteries de disques durs à des systèmes serveurs centraux, c'est ce qui permet de centraliser les tâches de sauvegarde, on comprend donc bien l’avantage de ce dispositif.

Vous avez des batteries de disques durs regroupées en « baies de stockage » qui sont ni plus ni moins des disques durs en réseau rattachés et contrôlés par des serveurs. La performance d'une baie de stockage va dépendre de la performance de chacun de ses composants :

  • les disques de stockage ;

  • les liens réseaux entre les disques ;

  • les serveurs contrôleurs ;

  • la mémoire cache.

Les disques durs copient vos données en assurant l’intégrité, c'est-à-dire qu’on va vérifier la façon dont les données sont copiées entre ces disques ; il y a des procédures de contrôle d’intégrité qui sont des petits algorithmes vérifiant que les données n’ont pas été corrompues lors de plusieurs copies, et qu’une donnée écrite est bien la même sur tous les disques. Les terminologies RAID 5, RAID 2, RAID 1 ou RAID 0 sont les différents niveaux d’intégrité de ces données écrites sur plusieurs supports.

Les disques durs en réseau sont là pour assurer une redondance de ce stockage : chaque donnée est écrite plusieurs fois (c’est ce qu’on appelle la redondance). La redondance va permettre de prendre le relais immédiatement si une baie tombe ; c'est indispensable en cas de panne de l'un des disques, mais du point de vue technique la redondance consiste à écrire simultanément sur plusieurs disques la même donnée. C'est ce qui assure un premier niveau de protection et de performance.

Enfin, pour être capable d’écrire sur tous les disques durs quasiment en temps réel,  ces disques seront reliés par des réseaux très haut débit. Les serveurs et les réseaux de baies forment une infrastructure physique extrêmement performante, grâce à des protocoles et des liens très haut débit à base de fibres optiques (c’est ce qu’on appelle le Fibre Channel), et entièrement sécurisés entre le serveur et les baies. Sur le plan technique, le principe est de rattacher les disques durs à des baies de stockage qui sont directement en réseau et contrôlées par des serveurs ; bien évidemment tout se fait avec une redondance des données et un très haut débit.

Les serveurs auront un rôle fondamental pour gérer les baies comme on a vu et vont faciliter la gestion du stockage, mais aussi pour vous permettre  d’accéder aux différents types de systèmes de fichiers.

Bien sûr, comme il va y avoir des batteries de baies, idéalement, il faut pouvoir les voir comme des unités logiques ; c'est-à-dire qu’on va créer des surfaces virtuelles afin de pouvoir bénéficier, à chaque espace disque, d’un maximum de quantité de stockage, pour éviter des zones perdues qui ne seraient pas utilisées. Ce qui permet également d'optimiser les espaces disques, parce qu’en permanence il y a des gros fichiers qui libèrent de l’espace qu’il va falloir récupérer.

Combien de fois vous avez entendu : « Oh non ! J’ai un Mac » ou un PC non compatible ? En plus, l’intérêt du SAN ou du NAS, c’est que ces architectures de sauvegardes seront transparentes (compatibles) par rapport aux technologies Mac, Linux, Windows... Cette transparence va se faire grâce à un serveur de gestion qui est un serveur de systèmes de fichiers, et qui assure un rôle extrêmement important sur l’hétérogénéité des systèmes des fichiers. Par exemple, vous avez souvent entendu parler de votre collègue qui a un Mac et ne peut pas lire des fichiers ; eh bien, avec ces serveurs SAN, c’est terminé ! La différenciation des systèmes de fichiers est transparente.

Quelles sont les solutions technologiques pour votre entreprise ?

Précédemment, nous avons vu les différentes propriétés d’un support pour stocker une donnée ; maintenant, comment mettre cela en œuvre ?

Il existe plusieurs solutions ; aujourd'hui, dans les entreprises les solutions les plus appropriées sont :

  • les SAN (Storage Area Network) : réseau de stockage interne ;

  • les NAS (Network Attached Storage): réseau de stockage interne ;

  • le Cloud (stockage externalisé).

Architecture complexe d'un système de sauvegarde en réseau local ou distant
Architecture complexe d'un système de sauvegarde en réseau local ou distant
Le SAN

Les propriétés que peuvent vous apporter les SAN sont énormes, allant de la qualité de service, l'hétérogénéité de systèmes de fichiers (Mac, Linux, Windows), la disponibilité et la performance. De cette manière, l'administration de vos systèmes de sauvegarde sera facilitée, vous aurez des débits réseau garantis, une continuité d'activité à chaud (c'est-à-dire si un serveur ou un disque tombe en panne, immédiatement le système continue à fonctionner en toute transparence).

Garantie de la qualité de service : plusieurs gigabits/seconde, contrôle de la perte et de la latence.
Garantie de la disponibilité : redondance du stockage.
Garantie face à l’hétérogénéité : indépendance aux systèmes et aux technologies.
Garantie d’une performance optimisée : dépend de la charge sur des ressources partagées.

Le NAS

Le serveur NAS permet donc à de multiples clients de partager des fichiers de manière transparente, comme si ces fichiers étaient locaux.

La sauvegarde dans le nuage

Tout cela apporte de considérables avantages, mais cette qualité a un coût qui parfois n’est pas supportable par certaines entreprises ; ce qui les conduit à se tourner vers les opérateurs publics qui offrent ces services à distance à plusieurs entreprises, en les mutualisant.

C’est le principe du « cloud », appelé aussi  « Infrastructure-as-a-Service », qui offre des serveurs et des baies à distance pour les entreprises. Il est évident que le coût va diminuer fortement, mais il va falloir que l’entreprise qui adopte cette solution soit extrêmement vigilante sur le contrat de service qui va l’allier à un tiers de confiance ; en particulier, il va falloir expliquer des garanties au niveau de la redondance, de la sécurité des données, et de la restitution des données en cas de rupture de contrat avec ce tiers.

En somme, l’utilisation d’un stockage de qualité est importante mais tout cela a un coût ; c’est pourquoi il est parfois intéressant de se tourner vers les offres simples. En cloud, cette fois-ci, c’est une offre publique qui vous est proposée via des opérateurs de cloud ; et le principal intérêt mais également désavantage d’un opérateur de cloud, c’est qu’il va vous proposer un contrat de service « service-level agreement (SLA) » qui contient toutes les propriétés vous garantissant un tiers de confiance.

Ensuite, l’autre aspect de protection de données est la duplication ; cela signifie que vous allez avoir plein de fichiers identiques dans la nature : il va falloir être vigilant sur la diffusion de ces données, en utilisant en particulier le chiffrement.

Ces architectures sont des architectures de réseaux avec des serveurs reliés entre eux par les réseaux informatiques, et des serveurs qui composent les baies de stockage. Nous pouvons voir également que les utilisateurs peuvent y accéder pour envoyer via le WAN… par une passerelle VPN, ou en local sur le serveur de sauvegarde.

Quelles sont les bonnes pratiques pour l’entreprise ?

Sauvegarder n'est pas jouer !

Sauvegarder c’est bien, mais tester la restauration des données c’est mieux, il faut  analyser l’efficacité de vos systèmes de sauvegarde. Par exemple : en cas d’incident, est-ce que vous avez des procédures de récupération des serveurs de sauvegarde ?

Il faut également avoir défini au sein de votre entreprise l’exploitation des sauvegardes, afin d’expliquer à vos utilisateurs comment les sauvegardes vont se faire.

Enfin, les outils ou les utilitaires de sauvegarde doivent être également validés au sein de l’entreprise.

Exemple
Principe du processus de sauvegarde : 1/ Sauvegarder les données qui peuvent être des données de l'utilisateur, des systèmes ou des  applications (configuration, paramètres...). 2/ Restaurer ces mêmes données.
Marquez "intelligemment" vos supports de sauvegarde

Vous savez que vous devez retrouver vos supports de sauvegarde ; il faut les marquer de façon anonyme parce qu’un attaquant qui arriverait sur vos systèmes retrouverait immédiatement les informations si vous étiez explicite dans la destination de vos sauvegardes.

Il va falloir néanmoins que ces sauvegardes marquées de façon anonyme puissent faire un lien avec le stockage. Pour cela, vous allez avoir un fichier, qui va faire l’association entre les deux, qu’il faudra protéger par le biais d’une authentification forte, sauvegarder sous contrôle permanent, et également être en mesure de bien préserver, en cas de panne, cet ensemble de sauvegardes.

Auditez régulièrement vos sauvegardes

Il faudra faire un audit de nos sauvegardes vis-à-vis des accidents ou des  catastrophes naturelles, comme les incendies ou les dégâts des eaux.

Automatisez, planifiez

Il convient d'établir des procédures régulières de sauvegarde et de contrôles. Il faudra mettre en place des procédures de sauvegarde pour que les fichiers de vos utilisateurs puissent être sauvegardés régulièrement.

Enfin, vous devez faire des plans de sauvegarde des configurations des utilisateurs, des plans de sauvegarde pour les données des utilisateurs, et pour les données sur les postes de travail de vos utilisateurs.

Authentifiez les accès aux zones de stockage

Les salles de sauvegarde, les réseaux de sauvegarde (SAN, NAS), les disques amovibles : clé USB,  DVD, sont soumis à une authentification, si possible forte.

Il faudra être capable de contrôler en permanence l’entrée des salles de sauvegarde, donc l’entrée aux salles par le biais d’un badge et d’un code d’identification.

La sécurité des supports doit être également assurée. Si vous travaillez avec une entreprise, il ne suffit pas de créer un opérateur de cloud ou un contrat solide, encore faut-il mettre en place des procédures d’authentification fortes, soit pour vos données, soit pour vos usagers.

En conclusion

Pour veiller à la sécurité de vos données, il est vivement conseillé d’effectuer des sauvegardes régulières et quotidiennes de manière interactive. On pourra alors disposer de ses données en cas de dysfonctionnement, mais avant cela, vous devez tester régulièrement vos sauvegardes pour vous assurer que vous avez bien les bons formats, que vous avez les logiciels à jour et que vous pouvez immédiatement opérer sur ces données-là. Avant d’effectuer des sauvegardes sur les plateformes Internet, soyez conscient que ce type de stockage est faiblement sécurisé, et contient des risques spécifiques.

Restez vigilant en utilisant les réseaux

Sécurisez l’accès WiFi de votre entreprise

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers

L'objectif sera de comprendre les enjeux de production et de sécurité de vos réseaux sans fil, leur mode de fonctionnement dans les situations les plus courantes, et également de vous montrer des cas d'utilisation malveillante : des intrusions, des dénis de service, de la divulgation d'informations confidentielles, afin que dorénavant vous puissiez comprendre et appliquer les bonnes pratiques de la sécurité à vos réseaux sans fil, proposées par l'ANSSI.

Les évolutions technologiques qu'ont connues les entreprises ces dernières décennies se sont appuyées sans aucun doute sur des capacités de réseaux plus fiables et agiles, la recherche de l'ubiquité, Internet tout le temps, partout, pour tous ! C'est pour ces différentes raisons, que vers les années 2000, les réseaux sans fil ou WiFi ont connu un engouement sans précédent auprès de la majorité des utilisateurs et, bien sûr, des entreprises. Les avantages de cette technologie étaient à l’époque révolutionnaires et libéraient les usagers de tous les inconvénients d’un câble réseau qui les contraignait à rester physiquement et logiquement à leur bureau.

Ensuite, le déploiement de réseaux régulés par une borne WiFi (maître-esclave) s'est développé avec un tel succès que le déploiement de réseaux WiFi s'est largement imposé sous cette forme dans les entreprises, mais également chez les particuliers. Les opérateurs télécom ont également proposé ces mêmes technologies au niveau des habitations, les "box" ne sont autres que des bornes WiFi faisant le lien entre les flux provenant de leurs réseaux haut-débit d'opérateurs et le réseau local (c'est pour cela que l'on dit souvent de la "box" qu'elle joue le rôle de routeur entre le réseau Internet-public et le réseau local-privé). Votre configuration de la "box" est centralisée chez votre opérateur.

Ce fut tout d'abord une question de coût : tandis que les solutions sans fil fonctionnaient avec une simple antenne WiFi et un déploiement à la journée, la mise en place des câblages pouvait atteindre plusieurs centaines de milliers d’euros et plusieurs mois d'installation. Ce fut également la capacité de déploiement de ces réseaux : alors que le filaire était parfois impossible à déployer sur des bâtiments trop vétustes, d’accès difficile ou mal appropriés, le "sans fil" devenait envisageable.

Architecture technique des réseaux WiFi

Le principe du réseau sans fil consiste donc à mettre en relation 2  équipements sans fil afin qu'ils communiquent, partagent des ressources.

Le WiFi est un réseau local

Dans les réseaux, on distingue les réseaux locaux (LAN/Local Area Network), des réseaux personnels (Personal Area Network) et des réseaux longues distances (Wide Area Ntwork). Les réseaux locaux sont de l'ordre de la proximité, permettent le lien sur quelques centaines de mètres maximum, même si les technologies permettent d'aller bien au-delà.

Exemple
Usage des classes de réseaux (personnel, local, mondial) et de leur technologie (air, filaire...) en fonction de leur couverture en m.
Il est organisé comme un réseau administrable

En réseau, on a pour habitude de distinguer :

  • les réseaux pair-à-pair (peer-to-peer) qui permettent à chacun, sans serveur tiers, de mettre à disposition et de télécharger des ressources partagées ; chacun configure son interface réseau en fonction des paramètres de son interlocuteur ;

  • les réseaux maître-esclave qui sont régulés par un point d'accès central afin de fournir la mise à disposition des ressources réseaux. Chacun configure son interface réseau en fonction des paramètres du maître.

Les réseaux maître-esclave sont largement déployés, car ils permettent de mutualiser, centraliser des milliers de connexions ; ce qui facilite leur administration et la centralisation de leurs configurations. Parmi les configurations du réseau qui ont intérêt à être centralisées  via ce point d'accès unique, il y a la qualité de service (régulation des flux et des débits), mais aussi la sécurisation.

Situations d'usage courant, les réseaux sans fil sont un composant clé du réseau local de l’entreprise

Au final, les réseaux WiFi maîtrisés - maître-esclave - sont les plus déployés ; ils sont certes dépendant du point d'accès unique - il tombe, alors tout le réseau tombe (plus de WiFi) - mais il existe de nombreuses solutions de redondance à chaud à mettre en œuvre, et les solutions d'administration centralisées sont de loin les plus sûres et les moins coûteuses. Un réseau WiFi d'entreprise sera donc déployé le plus souvent de la façon suivante :

  • le réseau local filaire de l'entreprise ;

  • le point d'accès ;

  • le client.

Deux cas de figure sont possibles :

  • Le système de câblage déployé : les utilisateurs sont derrière leur bureau, ils accèdent aux serveur set ressources de l'entreprise via des disques et bases de données 

  • Le réseau sans fil déployé : les utilisateurs peuvent accéder aux ressources mises à disposition dans le système d’information, tout autour de l’environnement de l’entreprise, y compris hors des murs de l'entreprise.

Le lien radio

Une borne d’émission et de réception s'appelle pour cette raison un point d'accès (AP/« access point »), puisqu'elle diffuse un signal radio sur un canal donné qui va relier les terminaux d'un même canal (par défaut, vos bornes WiFi sont sur le canal 11).

Le lien réseau est un lien radio ; si le terminal WiFi est dans la zone de couverture de l'AP, alors la connexion est possible et s'engage. Vous pouvez de cette manière accéder à tous les réseaux de votre voisinage qui sont dans la zone de couverture de votre PC.  Du point de vue de l’entreprise, le réseau sans fil distinguera deux zones :

  • non maîtrisée, sur laquelle un attaquant au même titre qu’un usager peut accéder au réseau (pointillés rouges) ;

  • de confiance, où on va avoir un espace sécurisé derrière la borne WiFi.

La connexion WiFi
Exemple
Principe de connexion et d'authentification WiFi

Regardons le principe des accès à une borne WiFi, 3 phases sont à distinguer :

  1. Enregistrement.

  2. Authentification.

  3. Association.

Du point de vue de la connexion, le protocole d'établissement de la connexion répond à la norme IEEE 802.11, intégrée à tous les portables et cartes WiFi du commerce.

Étapes 1/ & 2/ : enregistrement

On voit que le client va se connecter à une borne WiFi par une simple requête automatique dès lors qu’il est équipé d’une carte WiFi ; il commence par une demande d'enregistrement qui peut se faire auprès de toutes les bornes découvertes dans la proximité du client. Chaque poste équipé d’une carte réseau sans fil a accès à la zone de couverture radio de la borne.  Il peut entrer en relation avec la connaissance du SSID sur ce même canal  (Service Set Identifier), qui est un identifiant réseau auquel on souhaite se raccrocher, un peu comme une rue dans une ville.

L'échange commence à cette étape. Le client a des critères de performance pour choisir la borne qui lui semble la plus appropriée, puis pour prendre le SSID retenu.  La communication est alors établie, l’opération est simple pour l’usager bienveillant comme pour le pirate.

Vous pouvez voir dans la figure suivante un exemple de ce genre de « SSID» : quand on clique sur l’icône « réseau sans fil » de votre ordinateur, vous voyez la liste de tous les réseaux disponibles, ce sont les « SSID ».

Menu pour la liste des réseaux WIFI ambiants et de proximité
Menu sur votre terminal (PC, mobile,...) pour consulter la liste des réseaux WiFi ambiants et de proximité

Il reste à savoir comment on exploite cette ressource (c'est-à-dire le mode de connexion). La configuration WiFi actuelle est donc largement disponible, notamment dans les entreprises grâce au « SSID »; en clair la connexion WiFi est assez aisée, l’usager peut obtenir directement la liste des réseaux disponibles.

Étapes 3/ & 4/ : authentification

La figure ci-dessus apporte également d'autres informations (le petit cadenas ou pas) ; en cliquant directement sur ce réseau on peut obtenir les informations sur le protocole d'authentification utilisé qui vont permettre à un utilisateur de se connecter. Il se déroule à cette étape un mécanisme de vérification entre le client et la borne ; celle-ci conditionne l'accès à ses ressources, suite à la présentation des identifiants.

Cette étape étant optionnelle, si la borne WiFi (Livebox 9030) requiert une authentification, alors des identifiants vont vous être demandés. Par exemple, l’encadré ci-dessous montre que le réseau WiFi "Livebox 9030" requiert un mot de passe avec le protocole WPA2.

Étapes 5/ & 6/ : association

Une fois cette étape effectuée correctement, l'association devient effective, le client dispose des ressources de l'entreprise,  et l'entreprise peut également disposer des ressources de ses clients.

L’usager "tout le monde" n'est pas hébergé dans l'enceinte de l’entreprise mais accède au réseau de l'entreprise via la borne WiFi -  passerelle sans fil - comme on le voit ; et comme souvent, elle est reliée sur le commutateur de distribution du système d’information de l’entreprise.

La connexion aux services réseaux

La connexion radio vous permet de dialoguer avec la borne, mais les échanges sont limités, votre ordinateur et la borne sont seulement associés, c'est-à-dire que cela revient au même que si vous étiez sur le réseau filaire de l'entreprise : vous avez un lien avec le réseau local, mais cela ne vous permet pas encore de bénéficier des services du réseau IP de l'entreprise.

Pour cela, vous devez utiliser les mêmes mécanismes d'accès que le réseau local de l'entreprise (RLE) via le protocole TCPIP. En l'occurrence, il vous faut obtenir une adresse IP compatible avec le RLE, afin de bénéficier du service Internet.

La plupart des bornes WiFi incorporent le protocole DHCP (Dynamic Host Configuration Protocol) qui distribue automatiquement une adresse IP à tout utilisateur associé à la borne ; de cette façon, les utilisateurs de l’entreprise vont pouvoir accéder aux ressources via l’adresse IP fournie.

Grâce au service DHCP de la borne,  et à la couverture radio, les utilisateurs de l'entreprise ont accès directement au système d’information, à leurs fichiers et répertoires réseau.

La menace

La configuration WiFi pourrait néanmoins, du fait du manque de maîtrise de la couverture radio, offrir des opportunités d’accès et entraîner des usages malveillants par les attaquants. C’est aisé pour un attaquant ayant ces informations de rechercher les moyens de se connecter au système d'information de l'entreprise. La menace liée à un réseau WiFi est multiple : l'intégrité, la confidentialité et la disponibilité des composants du réseau WiFi sont directement en jeu, mais le plus grave est que cette menace se prolonge jusque dans le système d’information de l'entreprise, et également sur les terminaux WiFi des autres utilisateurs de l’entreprise.

Exemple
Menaces lors de la phase de connexion

Donc sur cette zone hostile, les attaquants vont mettre en œuvre leur savoir-faire pour tenter de pénétrer les réseaux sans fil.

Attaques sur les réseaux WiFi

Les attaquants combinent des attaques à distance de ce type par écoute passive :

  1. Prise d ’empreintes : connaître les types de matériels (PC, smartphone, routeur WiFi...), systèmes (Linux, Windows...)et services réseau.

  2. Recensement des éléments réseau : cartographie de l'architecture réseau,

  3. C. Cartographie du réseau : adresses IP relevées, port réseau...

  4. Découverte des mots de passe, des mécanismes d'authentification, de vos ressources.

  5. Découverte de la liste des vulnérabilités, toutes les failles correspondant à ce protocole WPA2, en plus de pouvoir offrir des opportunités d’accès et entraîner des usages non souhaités.

  6. Connecté à la borne WiFi piratée, il est aisé pour un attaquant de venir fouiller sur votre ordinateur, ce qui entraîne des fuites d’informations et des intrusions.

Ces étapes permettent ensuite d'effectuer des actions physiques sur les personnes : avec du « social engineering », il est en effet possible de  réaliser tout type de surveillance de personnes, et de déduire des codes d’accès (immeuble,  carte bancaire...). Par exemple, les  « worth hiding » sont des individus se tenant à quelques mètres des personnes qui tapent leur code, et ils ont une petite caméra cachée invisible qu’ils pilotent depuis leur voiture. On voit que l’agilité des réseaux sans fil est utilisée par les attaquants !

Vulnérabilités

1/ Les échanges entre un utilisateur (légitime ou non) de l’entreprise et la borne WiFi (verte) vous montrent en fait qu'il est possible d’avoir un accès non autorisé à des données grâce à un utilitaire d’écoute de trafic réseau (sniffer), afin de les utiliser de manière illicite. Il est également possible de faire de l’interception de données, par exemple pour l’espionnage industriel : les attaquants interceptent les noms des utilisateurs et leur mot de passe ou les adresses MAC et IP de l’entreprise qui circulent en clair, si le réseau WiFi n’a pas été protégé.

2/ La connaissance du SSID permet de s'associer plus facilement et de connaître les paramètres de sécurité en vigueur sur cette borne.

3/ La connaissance des protocoles de sécurité, des services réseaux permettent à l'attaquant de réaliser les étapes ABC de l'attaquant.

4/ Une fois associée, la personne malveillante va mener des attaques d'intrusion dans le système d'information.

6/ Un attaquant peut mettre en place hors les murs de l'entreprise une borne WiFi pour appeler une connexion des utilisateurs de l'entreprise ; ceux-ci viendraient s'y connecter, d'autant qu'en ayant réalisé l'étape 1, l'attaquant peut reconstituer l'environnement de connexion habituel pour les tromper, ce sont des "fake AP", ou rogues (points d’accès factices). Vous allez avoir une requête d’authentification de la part d’une borne de WiFi dont vous ne connaissez rien, et de cette manière vous pourrez vous y connecter. Autant dire qu’on peut se connecter à n’importe quelle borne WiFi, notamment des bornes WiFi pirates qu’on appelle une « Rogue AP ».

Les architectures et protocoles de sécurité pour l'accès aux réseaux sans fil

Afin de permettre la connexion, on voit que la sécurité s'opère avec une architecture d'authentification et un protocole.

Éléments d'une architecture WiFi de base

Comme vous l'avez vu, la connexion utilisateur-ressource fait appel aux principes de base réseau-télécom. Cette connexion permet de mettre en relation l'utilisateur et sa ressource, elle fait intervenir un terminal (mobile...) qui dispose des éléments de connexion : réseau sans fil, réseau filaire, pour accéder à la ressource ; cette dernière fait de même. En WiFi, il est impératif que la connexion passe par une borne WiFi (passerelle d'accès). Cette chaîne de liaison (grise) par défaut permet de communiquer, mais ne fait pas intervenir de dispositifs de sécurité.

Eléments intervenants dans l'architecture de sécurité
Éléments intervenant dans l'architecture de sécurité
Dispositifs de sécurité d'une architecture WiFi de base

L'architecture de sécurité se compose de plusieurs éléments de sécurité ou dispositifs (rouge), où chacun a son rôle dans l'architecture de base qui permet à un utilisateur de manipuler une ressource.

Le problème est qu'il est difficile de procéder à une reconnaissance (authentification Bonne Pratique 1 et Bonne Pratique 3) d'utilisateurs que l'on ne connaît pas, c'est-à-dire n'ayant pas été identifiés au préalable (identification Bonne Pratique 1 et Bonne Pratique 3), c'est le même cas pour tous les sites ouverts au public, on ne peut pas appliquer les même mécanismes ; on prend donc en compte 2  zones :

  • hostile : considérée ainsi car tout utilisateur peut potentiellement être manipulé par un ennemi ;

  • de confiance : considérée ainsi car toute entreprise est supposée n'autoriser les entrées qu'à des utilisateurs légitimes, qu'elle connaît et a au préalable identifiés.

L'architecture va donc appliquer des mécanismes distincts au sein de ces deux zones, puis un mécanisme de relais entre la protection de la "zone hostile" et celle de la "zone de confiance" :

  • "zone de confiance" : l’architecture de sécurité va débuter par la mise en place d'un serveur "bastion" qui va contrôler les accès aux ressources protégées par lui dès la zone de confiance ;

  • "zone hostile" : ensuite, elle va permettre la mise en place des dispositifs de sécurité pour sécuriser la zone hostile, c'est-à-dire la connexion entre l'utilisateur et la borne WiFi. Il va s'agir de tunnels  et de protocoles de chiffrement dédiés.

Architecture de coupure

On comprend que l'on ne peut pas appliquer les mêmes mécanismes, bien... mais comment faire pour passer d'une zone à l'autre  ?

C'est le rôle du dispositif de sécurité de la passerelle WiFi que de s'assurer que seuls les utilisateurs légitimes entrent en zone de confiance.

Dans cette optique, l'architecture de coupure propose un filtrage au niveau réseau (couche liaison de données, pour ceux qui connaissent) ; ce filtrage applique la règle "ceux qui sont en mesure de fournir les protocoles compatibles avec le serveur d'authentification derrière la passerelle WiFi pourront répondre au challenge d'authentification".

Cela évite le passage d'attaque par Brut Force, Man-in-the-Middle, etc. Le WEP ne propose pas d'architecture de coupure, ce protocole est exposé et doit être enrichi par une architecture d'accès et un protocole d'accès robuste.

Protocoles d'accès

Bien sûr, encore faut-il que le protocole d'accès proposé soit robuste.  L'objectif est qu'il ne permette pas de révéler les données secrètes du serveur ou du client pendant cette phase.

C'est pourquoi la phase de présentation du ou des secrets se déroule pas à pas et commence par un challenge du serveur, c'est-à-dire que le serveur envoie un défi, ce défi est fait de telle sorte que seul celui qui connaît l'information demandée par le serveur la produise. De cette façon, le serveur ne s'expose pas, le client prouve qui il est.

On voit que les architectures d'accès et de coupure, ainsi que les protocoles, travaillent de concert pour contribuer à identifier les bonnes personnes, c'est-à-dire celles qui peuvent accéder de façon légitime à la ressource.

Architectures avancées WPA

WPA, comme WiFi Protected Access, fournit un accès protégé aux réseaux WiFi, en répondant à la norme 802.11i.

Il s'agit plus d'une architecture et d'une méthode de chiffrement ; il vient compléter avantageusement le protocole WEP à partir des phases 3 et 4 du schéma d'accès proposé ci-dessus, puisqu'il  propose de chiffrer dès cette étape vos données sensibles (votre mot de passe).

WPA2, son successeur, comprend tous les éléments obligatoires de la norme 802.11i mais impose en plus un protocole de chiffrement fort : le mécanisme CCMP basé sur AES.

À cette étape, WPA fait appel à un protocole de sécurité afin de permettre l'échange des données transmises par une méthode de chiffrement adaptée et renforcée ; ce qui n'est pas le cas du WEP.

Le dispositif WPA-Enterprise introduit deux dispositifs sous forme de protocole et d'architecture :

  • EAP : Extensible Authentication Protocol ;

  • 802.1X : une architecture de coupure.

Architecture de coupure 802.1X

IEEE 802.1X est un contrôle d'accès dit par port, qui vise  la vérification des comptes avant la connexion de l'ordinateur au réseau ; ce qui permet de placer l'ordinateur client comme s'il appartenait au réseau.

Il faut donc bien comprendre que son usage est simplement de contrôler l'accès physique et logique au réseau local, c'est-à-dire, d'une certaine manière, transformer notre zone hostile comme une zone de confiance à authentifier ; il faudra ensuite bien authentifier les utilisateurs. Une authentification plus traditionnelle peut s'effectuer par un serveur d'authentification centralisé, par exemple un serveur RADIUS.

Architecure de controle d'accès par port
Architecture de contrôle d'accès par port dans la norme 802.1X

Dans la norme IEEE 802.1X, plusieurs composants distincts ont un rôle précis et nécessitent l'activation du standard IEEE 802.1X  dans leurs configurations :

  1. Le client appelé "supplicant": client terminal mobile, ordinateur...

  2. La passerelle d'accès 802.1X appelée "système authentificateur", chargée d'ouvrir ou fermer le port contrôlé et de laisser passer les informations permettant les authentifications.

  3. Le "serveur d'authentification" chargé de valider l'identité de l'utilisateur.

Le standard 802.1X scinde par conséquent les flux en deux ports d'accès logiques (au niveau de la couche liaison de données), ce sont donc deux ports logiques connectés en parallèle sur le port physique du système authentificateur :

  • le premier port logique est dit « contrôlé », il peut prendre deux états :

    • « ouvert »,

    • « fermé» ;

  • le second port logique est dit « non contrôlé », il est accessible par défaut mais ne laisse passer que des trames spécifiques de type 802.1X.

Ainsi, le système authentificateur ne débloquera le port contrôlé qu'en cas d'authentification réussie devant le serveur d'authentification ; ce qui nous montre qu'il existe un processus complet où l'activité de ces deux ports est dépendante de l'un et de l'autre, entre la partie WiFi (zone hostile) et la partie de confiance. Ce processus complet s'inscrit dans le protocole d'accès 802.1X.

Protocole d'accès 802.1X

Nous allons expliquer le protocole d'accès de façon globale.

Architecture de coupure 802,1x
Principe des échanges au sein de l'architecture de coupure 802.1X

Le serveur d'authentification permet de valider l'identité de l'utilisateur, transmise par le système authentificateur, et de lui renvoyer les droits associés en fonction des informations d'identification fournies. De plus, le serveur d'authentification peut stocker et tracer les informations de connexion (en vue d'une facturation à la durée ou au volume, par exemple).

Cette architecture renforce le contrôle d'accès par un serveur d'authentification 802.1X, qui attribue différentes clés à chaque utilisateur. Là encore, c'est un plus que ne propose pas le WEP, afin d'assurer une cohérence entre les deux passerelles ; il faut un protocole unique qui permette à chaque passerelle de se mettre d'accord ; ce sera le rôle du standard EAP.

Méthodes de chiffrement EAP

Le standard EAP n'est pas un nouveau protocole d'authentification ; il s'agit plutôt d'un protocole visant une mise en accord sur l'utilisation de protocoles standard existants.

Au départ d'Internet, il existait un protocole PPP réseau (Point to Point Protocol - couche liaison de données) utilisé pour établir les connexions à distance, le plus souvent via un modem sur le réseau RTC classique. Ces protocoles n'avaient pas de mécanisme de contrôle d'accès.

Le besoin d'un protocole enrichissant ce protocole de connexion de base s'est fait ressentir. Afin d'authentifier le dialogue entre le système authentificateur et le client à l'aide d'une méthode d'authentification, il fut introduit le protocole EAP : Extensible Authentication Protocol, qui explique de cette façon son nom.

Le protocole EAP permet d'utiliser différentes méthodes d'identification, et son principe de fonctionnement rend très souple l'utilisation de différents systèmes d'authentification. EAP présente ainsi plusieurs méthodes d'authentification. Les plus connues sont :

  • EAP-MD5 ;

  • EAP-PEAP ;

  • EAP-TLS ;

  • EAP-TTLS.

L'objectif de ce cours n'est pas de développer tous les protocoles de contrôle d'accès au WiFi, mais de désigner les plus recommandés dans les bonnes pratiques.

Méthodes d'authentification

Les méthodes d'authentification présentent 2 aspects :

  • le chiffrement pour masquer la phase d'échange du secret ;

  • le protocole de chiffrement.

Ces deux aspects vous permettent de respecter un protocole d'échange du secret entre un client et un serveur, conforme aux propriétés de confidentialité et d'intégrité ; en particulier d'imputabilité de la source et du destinataire. Il vous suffit de vous remémorer ce que nous avions abordé en introduction et dans les bonnes pratiques 1 et 3.

Protocoles de chiffrement WiFi et recommandations

Dans les bonnes pratiques 1 et 3, nous avons montré l'importance de la longueur d'une clé qui rentre dans la phase de durcissement des protocoles de chiffrement :

  • WEP inclut un algorithme de chiffrement RC4 qu'il est déconseillé d'utiliser, ayant été facilement craqué de par sa longueur de clé et le mécanisme de calcul des messages chiffrés avec cette clé ;

  • TKIP (Temporal Key Integrity Protocol) est un protocole de chiffrement utilisé pour la protection et l'authentification des données transitant sur le réseau WiFi. Il a été recommandé pendant plusieurs années mais en novembre 2008, deux chercheurs ont découvert une faille de sécurité dans le mécanisme de sécurité TKIP/WPA ;

  • AES (Advanced Encryption Standard) est un dispositif  de chifffrement faisant partie des protocoles recommandés ;

  • CCMP(Counter-Mode/CBC-Mac Protocol) constitue un protocole de chiffrement basé sur AES. CCMP utilise le chiffrement par bloc d'AES. Afin d'éviter qu'un attaquant ne devine les futurs caractères  d'un message, on introduit un changement à chaque message, que ne peut connaître l'attaquant. Ce principe est à l'heure actuelle le plus sûr.

Les bonnes pratiques des réseaux WiFi

Aujourd’hui, la plupart des réseaux sans fil sont déployés en mode "maître-esclave" afin de mettre en place des paramètres de sécurité.  Alors, n’oublions pas les bonnes pratiques pour vous prévenir de ce genre d’attaque :

  • ne pas diffuser votre identifiant réseau, changer et masquer ces informations sensibles, ce qui fait que quand l’attaquant va scruter la liste des AP, il ne verra pas vos identifiants ;

  • contrôler régulièrement les « logs » pour connaître les éventuelles traces d’adresses IP non identifiées par vous ;

  • chiffrer avec des clés d’authentification fortes, au moins du type WPA2 pour les entreprises ;

  • cartographier vos points d’accès WiFi afin d’en garder la maîtrise.

En utilisant cette architecture, cela va vous permettre de sécuriser vos utilisateurs via les portails captifs :

Exemple
Principe d'une architecture d'accès au réseau WiFi par portail captif

À travers ce portail captif, vous allez directement créer des VPN avec des utilisateurs ; c'est-à-dire des réseaux particulièrement sûrs qui vont vous permettre ensuite de contrôler les accès, de vérifier leur identité, d’avoir une authentification sur le serveur et l’annuaire de l’entreprise, puis de traverser un firewall et seulement enfin, d’accéder aux ressources sans fil de l’entreprise.

Vous avez aussi une bonne pratique que vous devez donner à vos utilisateurs du système d’information :

  • il faudra ne jamais divulguer votre ID de connexion à des access points non fiables ;

  • activer les fonctions de pare-feu sur les postes de travail ;

  • désactiver les bornes d’accès lorsqu’elles ne sont pas utilisées ;

  • n’utiliser que les WiFi publics référencés ;

  • ne pas utiliser les WiFi dans les gares, les aéroports ou hôtels pour des raisons de sécurité et de confidentialité ;

  • assurez-vous que votre ordinateur est protégé par un antivirus à jour et un pare-feu ;

  • protégez vos données dans un déplacement, et si jamais vous devez absolument utiliser un service de type WiFi, assurez-vous de ne pas communiquer vos données personnelles et confidentielles ; considérez toujours que vous êtes exposé au maximum.

Que ce soit chez vos clients, fournisseurs, etc., protégez de manière imminente vos données sensibles, car vous pourriez être victime d’une attaque de l’homme dans le milieu : c'est-à-dire que vous allez être conduit à un site web malveillant, forgé au préalable par un attaquant qui vous fera croire que c’est un site légitime. Préférez avoir recours à une borne d’accès dédiée si vous devez absolument vous fournir d’un accès réseau, et ne partagez jamais votre connexion avec des personnes qui sont « en manque de réseau » parce qu’ils ont soit-disant perdu leur portable, ou n’ont plus de batterie, etc.

Protégez vos données lors de vos déplacements

Ce cours a été réalisé en collaboration avec le Conservatoire national des Arts et Métiers 

Présentation des menaces

En cours de mobilité, la menace va se traduire sous différentes formes ; quels sont vos biens à protéger en mobilité pour votre entreprise  ?

  • Il y a tous les supports de stockage physiques : les ordinateurs avec leur disque dur, les téléphones portables avec leur disque dur interne, les clés USB, les appareils photo…

  • Il y a les identifiants et les accès aux logiciels.

  • Il y a toute la partie servicesprogrammes, c'est-à-dire les logiciels eux-mêmes.

  • Il y a le cloud utilisé de plus en plus pour le stockage.

En termes de sécurité informatique, on distingue les menaces suivants les 3 critères principaux :

  • la confidentialité : une atteinte à la confidentialité entraîne la fuite, et la copie d’informations sensibles ;

  • l’intégrité : une atteinte à l’intégrité entraîne une modification des biens à protéger ;

  • la disponibilité qui va conduire à une atteinte aux services ; votre ordinateur devient indisponible (ordinateur volé, disparu ou détruit).

Les menaces en cours de mobilité sont de différentes natures. Il y a par exemple l’infection de vos mobiles via des codes malveillants introduits par les clés USB ou des logiciels détournés. Une autre menace, c’est l’espionnage et le vol de données par photographie.

Par exemple : vous êtes en TGV et travaillez sur votre ordinateur, peut-être qu’à ce moment-là quelqu’un par dessus de votre épaule est en train de vous prendre en photo ou de vous filmer sans que vous le sachiez.

D’autres menaces lors des déplacements sont : les pertes, le vol, la copie, l’échange ou la saisie vers des autorités locales, de vos équipements, documents ; voire la copie des documents à votre insu. Il existe également le vol de vos identifiants et mots de passe, par exemple quand vous êtes à un aéroport ou une gare.

Les menaces de type « grands moyens »

Il existe des menaces appelées « grands moyens » qui se déroulent pendant vos voyages ; et il est possible que vous soyez victime d’une fuite de vos mots de passe, identifiants, des historiques ou des traces d’appels. Ces grandes attaques avaient été menées envers les compagnies aériennes.

Un autre type d’attaque consiste à vous localiser et croiser les informations de vos appels avec la liste des passagers et les numéros de l’avion sur votre billet ; dans ce cas si vous émettez un appel, vous pourrez être très facilement localisé.

On peut également, sur un avion vous inciter à rebooter votre téléphone portable ou votre ordinateur pour que vous vous reconnectiez au moment du reboot avec les codes d’accès et les identifiants utilisateurs, qui pourront ainsi être interceptés par les autorités.

Un autre type de menace est le changement de matériels (ordinateur, disques durs, clés USB…) dans un hôtel.

Les bonnes pratiques

Les bonnes pratiques sont des recommandations en termes d’analyse des risques ; elles vont porter premièrement sur la non-utilisation de matériels physiques de stockage offerts par un tiers qui n’est pas de confiance, car ils peuvent contenir des codes malveillants. Pour cela :

  • apportez une clé USB dont vous connaissez la provenance, utilisez-la uniquement lors de vos échanges de données, et jetez-la après l’usage ;

  • ne connectez pas vos équipements à des postes informatiques qui ne sont pas de confiance ;

  • utilisez un filtre de protection d’écran pour votre ordinateur pour éviter la « lecture sur épaule » ;

  • marquez vos appareils d’un signe distinctif pour éviter les changements d’appareils ;

  • utilisez de préférence du matériel dédié aux échanges uniquement fourni par votre entreprise avec des supports mobiles (disques durs, USB) ; ces appareils ne contiendront aucune information autre que celle dont vous avez besoin pendant la mission ;

  • ne vous séparez pas de vos appareils (supports fichiers, carte SIM…), gardez-les auprès de vous, car même dans un coffre-fort ils ne seront pas en sécurité ;

  • protégez l’accès à vos appareils par des mots de passe forts (comme nous l'avons indiqué dans la bonne pratique précédente) ;

  • utilisez un logiciel de chiffrement pendant le voyage.

Maintenant, nous allons parler des bonnes pratiques sur vos données et celles de l’entreprise :

  • avant de partir, sauvegardez les données que vous emportez et laissez la sauvegarde en lieu sûr ;

  • évitez de partir avec les données sans fil ;

  • ne communiquez pas l’information confidentielle en clair (comme le téléphone ou tout autre moyen de transmission), pour éviter l’écoute dans l’avion ;

  • pensez à effacer votre liste des appels et les données de navigation (cookies, mémoire cache, mots de passe d’accès dans un trousseau ou dans un fichier…) ;

  • en cas de saisie de matériels par les autorités, informez immédiatement les autorités locales et votre organisme.

Voilà les recommandations que vous devez respecter régulièrement lors de vos déplacements personnels ou professionnels.

Soyez prudent lors de l’utilisation de votre messagerie

L'objectif sera de comprendre les enjeux de production et de sécurité de la messagerie et de vos mails, leur mode de fonctionnement dans les situations les plus courantes, et également de vous montrer des cas d'utilisation malveillante : des mails, des adresses mail, afin que vous puissiez comprendre et appliquer les bonnes pratiques de la sécurité proposées par l'ANSSI.

Les serveurs publics qui véhiculent les mails sont gérés par les opérateurs qui possèdent des serveurs de messagerie qui sont en « cloud » dans les « data centers » extrêmement bien protégés. 

Situations d'usage courant de la messagerie

Le courrier électronique s'est généralisé : on ne fonctionne plus sans mail ; même les services publics se reposent sur ces infrastructures de la messagerie électronique pour informer, diffuser ses informations. En 2006, on comptait déjà plus de 80 milliards de messages échangés en moyenne chaque jour dans le monde ; en 2015,  on en comptait plus de 204 milliards.

Le courrier électronique connaît un développement exponentiel sans précédent ; les services de messagerie se sont organisés pour permettre l'envoi et la réception d'un courrier au bout du monde, en un seul clic et quelques secondes, alors qu'il a fallu pour mettre en place la messagerie électronique, plusieurs années, plusieurs milliards de lignes de codes et de clics de configurations !

Fonctionnement de la messagerie mondiale

Le réseau Internet (Arpanet) fut une contribution majeure à l’évolution du courrier électronique ; mais au fond, le courrier électronique n'est pas bien différent du courrier traditionnel postal, en ce sens que ce sont les mêmes concepts et même composants qui y sont présents  :

  • les interlocuteurs : un expéditeur et un destinataire, repérés chacun par une adresse de courrier. Il peut s'agit d'un individu ou d'un groupe d'individus ;

  • un message : le texte, qui est l'objet du courrier, devant rester connu uniquement de ses interlocuteurs ;

  • des protocoles d'accès aux infrastructures pour rendre le message compatible avec le moyen de transport ;

  • le contenant, destiné à préserver de la diffusion non souhaitée,  comme une enveloppe ;

  • une infrastructure de transport continu, pour permettre d'acheminer le courrier de bout en bout, et en capacité de router des paquets quels que soient leur forme, leur contenu... ;

  • un système d'adressage hiérarchique permettant de marquer le courrier et de repérer les interlocuteurs : n° d'immeuble, rue, ville, pays...

Schéma d'un système
Architecture et principe d'échange des messages électroniques à l'échelle mondiale : un utilisateur "user1" de l'entreprise1 en bas à gauche adresse un message à un utilisateur user2 de l'entreprise 2 ; ce message est relayé par des serveurs SMTP
Interlocuteurs

Le 1er point important : quand vous envoyez cette adresse e-mail à votre destinataire, vous allez indiquer le nom de l’utilisateur très précisément avec le nom de domaine de messagerie, et bien sûr vous allez indiquer en source votre nom et votre nom de domaine de messagerie de l’entreprise ; donc on doit toujours avoir un émetteur et un destinataire. Chacun possède une adresse de messagerie, une pour votre PC et une pour votre boîte mail. Cette adresse est composé de 2 parties :

  • une partie privée pour la livraison de votre courrier : l'adresse identifiant votre interlocuteur de façon unique ; votre adresse est également nécessaire pour garantir la réponse à votre courrier ;

  • une partie publique pour le routage de votre courrier : votre domaine de messagerie lié à votre opérateur ou entreprise qui porte votre serveur de messagerie.

Les adresses de messagerie utilisent le DNS (Domain Name System) qui est découpé en zones logiques appelées domaines. Un nom de domaine vous permettra principalement d’utiliser ce nom pour nommer vos sites Internet, mais aussi vos serveurs de messagerie et vos adresses de messagerie.

Le domaine DNS google.com permet de fournir des adresses de serveurs de messagerie gmail-smtp-msa.l.google.com et votre adresse email : user11@gmail.com.

Message et protocole d'accès

À partir de là, vous pouvez composer votre message via votre outil de messagerie qui peut être sur votre poste de travail, un cloud ou une page web.  Le  texte du message électronique doit être rédigé à partir d'un outil informatique afin qu'il puisse être numérisé, et véhiculé par les réseaux informatiques. Les logiciels de messagerie intègrent des traitements de texte de plus en plus évolués ; cela reste encore dépendant des terminaux utilisés (smartphones, tablettes, PC, Mac...).

Du point de vue de la norme, le MUA (Mail User Agent) permet de lire et émettre les messages électroniques à l'aide d'un client de messagerie (exemples : Microsoft Outlook, Mozilla ThunderBird, Apple Mail, IBM Lotus Notes, etc.). Le service de messagerie majoritairement déployé dans les entreprises est celui de Microsoft (environ 64 % en France). La solution logicielle libre, Zimbra, est également de plus en plus déployée dans les entreprises publiques.

Enveloppe

Le message rédigé et renseigné sur les adresses sources et destinations fait l'objet d'un clic pour envoyer. Il est ensuite encapsulé dans une "enveloppe" électronique marquée uniquement de l'adresse de la source et de l'expéditeur, au format compatible avec les infrastructures électroniques de transport.

Cette encapsulation se réalise à l'aide d'un protocole de messagerie comme RFC 822 qui lui confère une structure bien définie  :

  • un en-tête qui peut publier les adresses de routage ;

  • un corps de message qui doit rester confidentiel.

MIME (Multipurpose Internet Mail Extension) est une manière de représenter de multiples fichiers à l'intérieur d'un message unique.

Infrastructure technique de transport

Ensuite, les messages sont véhiculés par Internet et l’adresse de votre destinataire par le nom de domaine « entreprise1.com », par exemple, va être cherchée par les serveurs DNS et remise aux serveurs STMP de l’entreprise destinatrice.

C’est une infrastructure complexe qui repose sur une partie publique Internet puis privée, le RLE. Cette infrastructure repose sur le système d'adressage DNS, où chaque serveur de messagerie est nommé par son adresse DNS. Si l’infrastructure technique de votre entreprise comporte un service de messagerie, un logiciel de messagerie "serveur" sera installé (Microsoft Exchange) et gérera les transferts de messages. Il assurera 3 fonctions :

  1. Enlever le courrier.

  2. Router le courrier.

  3. Livrer le courrier.

Enlever le courrier

Cette partie est généralement assurée par le serveur de votre opérateur ; le protocole de communication utilisé est SMTP, on appelle ce serveur également le serveur "sortant". Ce serveur de messagerie peut également être celui de votre entreprise ; comme l'indique le schéma ci-dessous, le serveur de messagerie sera hébergé sur la ferme de serveur "réseau privé de l'entreprise 1".

Serveur d'envoi SMTP
Paramétrage sur votre PC de votre serveur d'envoi SMTP
Routage

Votre serveur de messagerie contactera le serveur destinataire. Nous l'avons vu, chaque courrier est marqué par la partie publique de l'adresse de destination, le routeur de messagerie a pour rôles :

  1. De lire l'adresse destination de messagerie.

  2. De contacter le serveur de livraison du domaine du destinataire.

Du point de vue de la norme, le MTA (Mail Transfert Agent) est le serveur de transmission qui  envoie les mails entre les serveurs. Le serveur peut contacter tous les serveurs de messagerie Internet pour transmettre votre message ; donc, tous ces serveurs doivent être accessibles par tous, puisqu'ils constituent un ensemble de relais pour acheminer votre courrier de bout en bout.

Même si cette infrastructure est confiée à des organisations à but communautaire (semi-publiques) ou à des opérateurs Internet, ces messageries restent peu sûres et vos courriers exposés. C'est pourquoi il est conseillé de chiffrer vos messages.

Donc, on voit qu’on a une complexité dans le protocole de la messagerie, qui repose sur la complexité du protocole de résolution de noms de domaine (ça, c’est un 1er point) ; c'est-à-dire qu’une entreprise qui s’appelle « entreprise1.com » va avoir son nom de domaine de messagerie « entreprise1.com » géré par les serveurs SMTP (« Simple Mail Transfer Protocol »), mais également par les serveurs DNS publics ; donc on peut imaginer que ces adresses-là peuvent être piratées si les serveurs DNS publics sont piratés.

Livrer le courrier

Ce serveur de messagerie peut également être celui de votre entreprise. Comme l'indique le schéma ci-dessous, le serveur de messagerie sera hébergé sur la ferme de serveurs "réseau privé de l'entreprise 2". Du point de vue de la norme, le serveur de distribution du courrier électronique s'appelle un MDA (Mail Delivery Agent) ; il représente la dernière étape de la chaîne d’envoi d’un mail. Il est généralement associé aux protocoles POP et IMAP qui sont les protocoles de messagerie qui définissent le moyen de réception d’un mail ; vous pouvez le réceptionner sur votre ordinateur grâce au protocole POP ou au protocole IMAP.

Serveur de réception IMAP
Paramétrage sur votre PC de votre serveur de réception via le protocole IMAP.

Quand vous recevez un message, vous voyez que vous avez une adresse source et une adresse de destination. L’adresse de destination repose sur les DNS (Domains Name System) ; ce sont des serveurs qui vont résoudre les adresses IP en nom de domaine. Les noms de domaine sont gérés encore une fois par les serveurs publics.

La menace

Plusieurs facteurs contribuent à la fragilité de la messagerie.

La première chose qu’il faut connaître, c'est que si l’infrastructure de  messagerie est gérée par l’entreprise pour les configurations et les mises à jour, elle devra disposer de moyens pour cela ; dans le cas de moyens extrêmement réduits, alors ses serveurs de messagerie seront naturellement moins bien protégés.

La seconde chose, c’est que le protocole (SMTP) qui va permettre aux serveurs publics et privés de router les adresses de messagerie ne peuvent être chiffrés : par essence, les relais de messagerie de l'Internet ont besoin de lire les adresses de messagerie pour effectuer leur routage, ils sont par ailleurs nombreux et dispersés. Pour chiffrer, comme vous le savez maintenant,  il faudrait déployer des clés/certificats sur tous les serveurs, y compris ceux qui ne se connaissent pas ou que l'on ne connaît pas, ce qui n’est pas déployable au niveau mondial !

Enfin, la messagerie est un vecteur d'échange fabuleux et extrêmement efficace, pour le meilleur mais également pour le pire. Le meilleur, c'est votre productivité par exemple ;  le pire, ce sera la vitesse de propagation des codes malveillants grandement accélérée si votre messagerie est mal sécurisée ; alors, faites-le pour vous et pour les autres ! Ils feront de même....

Vulnérabilités

À partir de ce moment-là, il y a un certain nombre de vulnérabilités ; certaines sont  maintenant éradiquées parce que les serveurs sont maintenus par les opérateurs, d'autres sont encore très dangereuses :

  • baisse de la productivité de votre entreprise : les serveurs et les boîtes de messagerie peuvent être saturés par des messages de Spam ;

  • divulgation ou vol d'informations sensibles comme les mots de passe, etc. La messagerie est un vecteur dangereux d'attaques ; comme tout logiciel ouvert, elle constitue en cela un vecteur d'infiltration de programmes malveillants ;

  • divulgation ou vol de données permettant la tromperie, l’espionnage et l'escroquerie en exploitant :

    • des URL malveillantes via des Spams ou/et du phishing,

    • des vulnérabilités logicielles présentes dans les applications largement déployées auprès des usagers comme Internet Explorer, Adobe Acrobat, Adobe Reader et Flash Player.

Les petites entreprises doivent être conscientes que les cybercriminels recherchent les serveurs des entreprises les moins bien administrées.

Attaques : un exemple de phishing

Les attaques les plus courantes sont bien sûr : le phishing, le hameçonnage, le ransomware, etc., au travers d'appels à cliquer sur des liens pour vous inciter : "jouez, cliquez et gagnez", "cliquez sinon vous serez en défaut" ; c’est évidemment l’usurpation d'un expéditeur que vous craignez qui vous fera cliquer sans méfiance : votre patron, votre banquier, votre propriétaire, votre famille, vos proches...

Dissection d'une attaque complexe de type
Dissection d'une attaque complexe de type "vol d'identifiant de session"

Un attaquant forge un mail, et toute l’ingéniosité de cet attaquant va être de vous faire cliquer sur le lien URL qu’il y a joint pour que vous puissiez être piégé ; et si possible, il va faire cela de façon massive en espérant que sur l’ensemble des destinataires, il y en aura bien un qui va cliquer et lui apporter des informations qu’il souhaite.

On voit donc la dangerosité extrême de cliquer sur un mail piégé.

Les bonnes pratiques

Vérifier les identités des destinateurs

Lire son adresse mail en détail, ne pas se fier à ce que l’outil de messagerie vous facilite la reconnaissance de vos interlocuteurs. Et si quelque chose vous paraît anormal, il ne faut pas hésiter à contacter directement l’émetteur du mail.

Chiffrez vos emails

Donc les en-têtes de vos messages ne pourront pas être chiffrés, pour permettre aux serveurs de lire les adresses. Une fois qu’on sait cela, on comprend qu’il est également important que le corps de votre message soit protégé. Donc on va pouvoir chiffrer le corps du message pour qu’il soit gardé privé ; par contre l’en-tête, qui permet de véhiculer les messages, va rester non chiffrée.

Mesurez vos volumes de mails quotidiens, hebdomadaires...

Le volume considérable d'emails peut affecter vos ressources informatiques ; utilisez les protections antivirus, antispam et antiphishing pour vos emails entrants : 90 % des mails entrants sont constitués de spams, supprimez les messages indésirables avant qu'ils ne se propagent sur votre réseau et libérez des ressources informatiques.

Filtrez vos Spams

Adoptez des politiques via des règles, rappelez à vos employés de nettoyer leurs boîtes de messagerie.

D’autre part, les serveurs publics qui véhiculent les mails sont gérés par les opérateurs qui possèdent des serveurs de messagerie qui sont en « cloud » dans les « data centers » extrêmement bien protégés.

Soyez attentifs à vos pièces jointes

Nous avons vu que nous ne pouvions pas chiffrer les en-têtes mais seulement le contenu du message, on ne peut donc pas lire l’intérieur du message avec des outils automatiques.

Pour cela, vous devez absolument faire attention aux pièces jointes qui sont dans le corps du message, et à ne pas cliquer sur les liens URL, ce qui est très dangereux.

Enfin, il faut désactiver l’ouverture automatique des documents en pièce jointe qui peuvent être téléchargés à travers une pièce jointe.

Ne répondez jamais à une demande de codes confidentiels

Nul n’est en droit d’exiger de vous une telle information, cela ne pourra jamais être une demande qui viendrait d’une institution ou, en interne, de votre administrateur.

Les objets connectés

Des objets connectés sont des objets extrêmement dangereux en termes de messagerie, et en particulier les téléphones portables puisque la messagerie est une activité corrélée à l’activité même du téléphone ; donc on communique par la voix mais aussi par le message. C’est très souvent que l’on peut vous envoyer des URL ou espions qui vont venir polluer, voire mettre en danger ou carrément rendre victime de ransomware votre téléphone portable et le contaminer. Cela se fera bien entendu via les objets connectés, puisqu’ils seront en communication avec tout le parc informatique de votre entreprise, avec une vitesse très intéressante pour l’attaquant. Ce qui peut conduire à des attaques massives à grande échelle.

Téléchargez vos programmes sur les sites officiels des éditeurs

Ce cours a été réalisé en collaboration avec le Conservatoire national des Arts et Métiers.

L'objectif sera de comprendre les enjeux de production et de sécurité des logiciels et applications que vous installez sur vos équipements, smartphones, postes de travail, d'en comprendre le mode de fonctionnement dans les situations les plus courantes,  et également de vous montrer des cas d'utilisation malveillante, comme des codes malveillants, de la divulgation d'informations personnelles, afin que vous puissiez comprendre et appliquer les bonnes pratiques de la sécurité proposées par l'ANSSI.

La bonne pratique N°2 nous a appris pourquoi les mises à jour des logiciels sont essentielles pour la sécurité, éviter en particulier l'exploitation de vulnérabilités liées à des bugs/défauts de conception logicielle ou matérielle ; nous avions également souligné l'importance d'effectuer ces mises à jour logicielles à partir des sites officiels des éditeurs de logiciels​. En réalité, il existe un processus complet organisé par vos éditeurs de logiciels pour réaliser vos mises à jour directement sur leur site ; bien entendu sur les serveurs d’entreprises vous avez des outils logiciels pour effectuer ces mises à jour de façon sécurisée.

Au moment où vous introduisez une nouvelle application sur votre ordinateur ou sur un serveur, cela signifie que vous acceptez que de nouvelles activités s’exécutent sur votre serveur ; c'est-à-dire que vous consentez à ce que ces activités puissent modifier (voire supprimer) des fichiers, éventuellement des fichiers de configuration.

Donc, on peut dire qu’un bon logiciel va effectuer des actions et des activités qui vont vous rendre service (le service que vous avez choisi) ; on peut dire aussi qu’un mauvais logiciel, un « malware », va effectuer des actions qui d’une part sont codées par un attaquant, et qui d’autre part vont apporter de nouvelles données sur votre ordinateur, ou fournir des accès en modification ou suppression, ce qui engendre des effets non désirables.

Situation de téléchargement et déploiement d'applications

Exemple
Situation de téléchargement et déploiement d'applications pouvant mener à l'installation d'un code malveillant

La liste montre une multitude de sites de téléchargement, vous voyez qu'ils vous est proposé dans l'encart 1 de vous installer un "cleanup" pour Mac ; ce cleanup est embarqué dans votre package (empacking).

Si vous choisissez parmi la liste, par exemple Google Chrome, dans ce cas, vous êtes informé, mais certains sites "repackage" sans que vous le sachiez, pire encore, en faisant cela, ces sites de téléchargement peuvent sans le savoir être infectés par un code malveillant.

La plupart des situations d'installations peuvent se dérouler ainsi :

  1. Partir d'un nouveau besoin ou tester des nouveautés.

  2. Choisir une application en bureautique, gratuite ou payante.

  3. Télécharger sur votre poste de travail.

  4. Installer en cliquant au fur et à mesure que l'application vous le demande.

  5. Conserver les sources dans son répertoire de téléchargement.

En plus de son repackaging, et ce afin que l'étape 4  se déroule au mieux, le logiciel que vous téléchargez ne vient pas seul, il est "emballé" (empackagé) dans un "installer" ; l'installer est l'utilitaire logiciel qui va prendre en charge votre système d'exploitation et votre matériel. Pour cela, il est entièrement programmé et contrôlé par le développeur pour prendre vos configurations et réinstaller votre nouveau package  :

  • sous Windows, tous les paramètres du registre, sous Linux des profils et des batchs ;

  • la création des répertoires d'accueil ;

  • la création des raccourcis dans le menu de Windows et sur le bureau ;

  • les ressources partagées : DLL  Windows (WinSxS) ;

  • l'acceptation d'une ou de plusieurs licences.

N'oubliez pas que l'installer est un programme : on peut lui faire faire ce que l'on veut, puisqu'en plus, si vous le lui permettez, il aura les droits "admin-root".

Architecture technique des installations et déploiements logiciels

Que ce soient des logiciels gratuits ou payants, des applications liées directement à votre métier dans tous les départements de votre entreprise, les opérations de déploiement de nouvelles applications ou de leurs mises à jour passent par une expertise qui se déroule en 5 grandes phases, sur vos postes de travail Windows, client sur PC Linux, ou portable ou serveur :

  • installation : cette phase concerne  la mise en place des équipements supports et l’installation de vos logiciels ; elle vise la mise en production en fonction de vos attentes. Des connaissances et expériences d'experts du parc informatique complet seront détenues pour atteindre la fiabilité et la sécurité de votre parc informatique. À ce stade, le choix des sources du téléchargement est vital ; vous ne devez pas vous procurer des sources non fiables ;

  • configuration : cette phase permet d'adapter vos logiciels à vos besoins et à vos équipements existants ; la connaissance des compatibilités des logiciels et des versions est indispensable. Le choix d'un paramètre peut être délicat et autoriser des failles de sécurité. Par exemple, faut-il activer les JavaScript sur votre navigateur ? La mise à jour le déconfigure, mais vous ne savez pas quel paramètre remettre ?

  • optimisation : cette phase va permettre d'opter pour une configuration plus optimale de vos logiciels, en optimisant la qualité de service (débit, qualité d'image...). Ne vous exposez pas à l'introduction de codes malveillants !

  • gestion de parc : la gestion de parc maintient les versions de vos logiciels, les informations sur vos équipements, leur histoire avec les dates de mises à jour,  les incidents, les adresses des sources de téléchargement ;  ces renseignements sont précieux pour avoir un suivi précis de votre parc et de vos logiciels ;

  • gestion d'incident et support : le déploiement d'un nouveau logiciel, l'installation d'un nouvel équipement, peuvent causer des incidents ; une cellule de support doit vous accompagner.

La menace

Exemple
Différentes situations de vulnérabilité lors de téléchargements d'applications

De votre côté, il est impossible de vérifier une application (une application = des milliers de lignes de code, donc même un spécialiste ne peut pas vérifier ça).

Les limites actuelles du développement logiciel

Imaginons que j’aie introduit une instruction parmi des milliers de lignes de code ; il est évident que vous ne pourrez pas le vérifier.

De même, comme le code est une production purement humaine, il est difficile de mettre en place un outil automatique pour vérifier ça ; la seule chose que l’on puisse faire (et c’est ce que font les logiciels antimalware), c’est de vérifier que certaines instructions connues, identifiées à l’avance et respectant certains standards, ne viennent pas réaliser des actions malveillantes ; à part cela, il n’y a pas d’autre protection que de prévenir un risque de mauvaise exécution.

Obfuscation

La plupart du temps, l’impossibilité de vérifier le code est liée au fait que les développeurs (éditeurs de logiciels) obfusquent leur code, c'est-à-dire qu’ils le rendent illisible afin de protéger leurs propriétés intellectuelle et industrielle.  De cette façon, vous ne pourrez pas voir quelles sont les instructions qu’ils ont développées. Donc, en voulant lutter contre le vol de la propriété industrielle, d’une certaine manière on rend encore plus difficile la possibilité de se protéger.

Exécution automatique des installations logicielles

Certains paramétrages logiciels proposent d’exécuter même automatiquement (c’est ce qu’on appelle des compléments logiciels) ; c’est le cas de vos navigateurs. C’est ce qu’on appelle des « modules complémentaires ». Du coup, cela revient à faire un clic sans que ce clic ne soit réalisé par vous. Donc, cliquer c’est exécuter ; votre responsabilité est engagée chaque fois que vous avez cliqué sur une partie d’installation logicielle.

Injection de codes malveillants

On entend souvent des personnes croyant bien faire en téléchargeant une application pour nettoyer leur ordinateur, et qui sont alors victimes d’un malware qui va ensuite s’exécuter sur le serveur, les postes de travail.

Ou pire encore : n’oubliez jamais que vous êtes en réseau dans l’entreprise. Vous pouvez contaminer tout le réseau de votre entreprise et comme ces attaques sont contaminantes (vous avez certainement entendu parler des ransomwares qui n’ont certes pas les mêmes activités, mais qui sont en lien, en ce sens où c’est toute une activité de l’entreprise qui est suspendue, en touchant par exemple une chaîne de production ; ce genre de malware peut entraîner des conséquences considérables), l’entreprise peut être paralysée pour une durée indéterminée ; un clic et votre responsabilité est engagé, chaque fois que vous cliquez, il faut faire attention.

Logiciels open source, pour vous et les attaquants !

De nombreux logiciels en « open source » ou gratuits  peuvent vous rendre vulnérable du fait que le code source est ouvert aux développeurs : l'open source fonctionne en mode contributeur.

Définition : open source = mutualiser des efforts et des développements pour améliorer un produit ; notamment toute la génération Git et GitHub, qui sont des sources logicielles déposées sur des plateformes mutualisées où chacun vient contribuer ; ça part d’un esprit de solidarité et de bienveillance, mais parfois il peut y avoir effectivement des malwares qui y sont déposés, et la communauté des développeurs n’est pas toujours en train de travailler sur le logiciel que vous avez téléchargé, donc il faut se montrer prudent.

Par ailleurs, certains logiciels, du fait de leur gratuité, ne sont pas maintenus par les éditeurs de logiciels qui ne vont plus apporter des modules complémentaires, et de cette façon on va mettre en place des modules complémentaires sur des fondations de logiciels qui ne sont jamais maintenues ni mises à jour.

On peut se demander comment fonctionnent les mises à jour, on a expliqué dans la partie précédente que les éditeurs de logiciels fournissaient des outils de mises à jour qui sont des agents déposés sur votre PC ; ces agents ont une relation particulière avec le site de l’éditeur de logiciels.

Illustration
Mode opératoire d'une attaque en ransomware de l'envoi d'un mail piégé, du clic, à l'écran pris en otage.

Il ne faut jamais payer

Vous n'avez pas de garantie :

  • que le paiement effectué parvienne à votre interlocuteur ;

  • que ce dernier vous restitue les clés de déblocage, peut-être lui-même les a-t-il perdues ou mélangées ! (Si vous êtes sa Xème victime) ;

  • qu'il ne vous sera pas demandé une nouvelle rançon.

En revanche, vous avez la garantie :

  • que vous redémarrerez avec vos sauvegardes !!!! rapidement et avec peu de dégâts... ;

  • que les institutions qui vous protègent lutteront mieux en analysant votre système.

Les bonnes pratiques pour le téléchargement de vos logiciels

Nous avons vu dans la bonne pratique n° 8 qu'il était possible de recevoir des liens malicieux via des emails ; nous vous recommandions de ne pas cliquer, vérifier les URL, vous avez été sensibilisé ! Ce n'est pas le cas de votre collègue, Monsieur Dupé (ci-dessus) : il a ouvert le mail, l'a lu puis a cliqué sur la pièce jointe ; l'exécution du code sur le poste de travail est alors enclenchée (l'étape 3) !

Il ne faut donc pas donner cette possibilité de cliquer, et votre responsabilité est entière ! Il faut vous renseigner, vous êtes le seul à être responsable de ce clic.

Choisissez le circuit vert!

C’est pour cela que parmi les précautions essentielles que vous devez respecter, il y a celle de faire une demande auprès de votre éditeur de logiciel (qui, lui, est plutôt bienveillant) pour vous délivrer un service de qualité à la hauteur de celui que vous avez souscrit en le payant ; et en particulier de ne pas repackager et empackager sans tester.

Exemple
2 circuits sont possibles : le vert est garanti avec un éditeur de logiciels connu ; ne prenez pas le rouge, il n'est pas sans danger!

Télécharger des programmes via les utilitaires officiels des éditeurs

C'est une chose, mais il existe également la bonne pratique n° 2 ; on avait déjà expliqué le principe des mises à jour, et dans cette partie on va expliquer le téléchargement. Pour télécharger, les éditeurs de logiciels ou de systèmes d’exploitation fournissent des outils préférentiels pour l’installation et le téléchargement de nouveaux logiciels.

Et vous allez donc établir un lien avec l’URL de l’éditeur de logiciels qui vous est recommandé ; vous allez ensuite ouvrir un compte et ce sera avec ce compte que vous allez pouvoir obtenir des applications. Vous ouvrez le compte sur un centre de distribution de logiciels (centre de téléchargement officiel). Par exemple, pour l’environnement Windows vous allez avoir accès aux logiciels Microsoft via un agrément logiciel (cela peut parfois être un certificat ou une clé publique) ; Google fait également valider et met un niveau de confiance sur les applications logicielles.

Vous avez maintenant votre navigateur et votre utilitaire (en haut/droite de l’écran), donc on voit votre poste de travail de votre entreprise, vous êtes administrateur, vous gérez plusieurs postes de travail, vous ne donnez pas les droits d’installation des logiciels en mode administrateur afin de ne pas permettre des actions dangereuses et irréversibles sur les postes de travail, mais aussi sur le réseau puisque (comme on l’a dit tout à l’heure) ce sont généralement des logiciels qui vont se déployer automatiquement et souvent grâce au compte administrateur ; à ce stade, vous avez obligé vos utilisateurs à utiliser l’installer de Windows : c’est ce que montrent les écrans Windows 10, Windows 8.1 et Windows 7, qui sont des exemples de modules de téléchargement de logiciels.

Exemple
Le site officiel de téléchargement de Microsoft pour Windows

Je vous conseille donc d’utiliser ces outils sans modération en respectant malgré tout les autres points de vigilance que nous avons évoqués ; mais au moins, cela vous permet d’établir des liens de confiance plus élevés avec ces éditeurs.

Donc, nous avons vu l’architecture utilisée pour réaliser les téléchargements ; on voit qu’effectivement on va chercher (tout en bas) sur des sources, des dépositaires d’applications qui sont des points d’entrée sur votre poste de travail, sur les postes de travail de vos utilisateurs et également sur les serveurs de votre entreprise.

À partir de cette architecture, téléchargez des programmes sur les sites, recommandez des éditeurs de logiciels, pensez à décocher ou désactiver toutes les cases proposant d’installer des modules complémentaires, pour garder la maîtrise des modules que vous installez.

Appliquez des bonnes pratiques de sécurité à vos objets connectés

Soyez vigilant lors d’un paiement sur Internet

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers

L'objectif sera de comprendre les enjeux de production et de sécurité du commerce électronique, et plus encore, de l'utilisation de moyens de paiement sur Internet. Vous découvrirez leur mode de fonctionnement le plus courant, en particulier ce que l'on appelle les SPE, la monnaie numérique, puis des utilisations malveillantes des SPE ; et enfin, comment prendre soin de vos données bancaires numériques.

Les systèmes de paiement électronique sont néanmoins récents. Nous avons vu lors de l'étude de la bonne pratique n° 1 (mot de passe) les principes essentiels des systèmes de protection cryptographiques à clé publique et à signature électronique ; leur avènement a rendu possible et populaire l'usage de la monnaie électronique.

L'apport de ces technologies est énorme pour sécuriser les données sensibles à protéger comme le numéro de la carte (1), la date de fin de validité (3) et les trois chiffres secrets qui figurent généralement au dos de la carte (ou en encart 2). Elles permettent d’effectuer des paiements via Internet, sans la présence physique de la carte.

Carte bancairean
Composants d'une carte bancaire en lien avec la sécurisation des échanges

Les enjeux énormes d'Internet ont conduit à une régulation mondiale afin de protéger tous les acteurs du paiement électronique ; en particulier, de limiter la fraude par compromission massive de données de cartes bancaires. Le principe du e-commerce fait intervenir les acteurs suivants : l'usager (porteur), le e-commerçant, les banques (du porteur et du commerçant), les places de marché.

Cela nécessite tout d'abord l'identification des parties au moyen d'un certificat électronique, avec une obligation de conserver en lieu sûr les traces des transactions électroniques ; ces dernières se font généralement entre une banque et un Payment Service Provider (PSP), via divers moyens de paiement et modes de transaction sécurisés associés, pour constituer ce que l'on appelle un système de paiement en ligne (SPE).

Néanmoins, les automates et terminaux de paiement utilisés par chacun d'entre eux doivent se conformer à des exigences de standardisation et de sécurité. Le standard PCI DSS (Payment Card Industry Data Security Standard) n'est ni une loi, ni une réglementation : c'est une norme technique pour les cartes de paiement, un standard de sécurité porté par les 5 réseaux internationaux de cartes bancaires (Amex, Discover, JCB, Visa et Mastercard).

Situations courantes du paiement  électronique

Les paiements sur Internet sont bien sécurisés et plusieurs offres de paiement sont proposées. Lorsque vous effectuez des achats sur Internet via votre ordinateur ou smartphone, vos coordonnées bancaires sont échangées, au moins pour être enregistrées dans le fichier client de votre destinataire, le site marchand sur lequel vous surfez. On distingue généralement plusieurs types de moyens de paiement électroniques  :

Paiement en ligne par carte bancaire

Les banques se sont dotées de systèmes de paiement sécurisé, en s’appuyant pour la plupart sur leur offre de carte bancaire. Par exemple, Virtualis du Crédit Mutuel est basée sur la solution sécurisée Atos Origin. La Caisse d’Épargne, la Société Générale, LCL, ou la Banque Populaire, ont quant à elles adopté le mode de paiement e-carte bleue.

Échanges via des plateformes tierces

Ce service développe le commerce de particulier à particulier (P2P). C'est un service offert par les pure players du service de paiement en ligne ; ces organismes, comme Paypal, enregistrent une croissance considérable depuis ces dernières années.

Exemple
Situation de paiement sécurisé pour un particulier

Avec le protocole « SSL » (pour Secure Socket Layer) et « SET» (pour Secure Electronic Transaction), elles assurent  une transmission sécurisée des paiements en réseaux ouverts ; le protocole « SET» est un protocole de cryptographie asymétrique permettant d’assurer la confidentialité et l’intégrité du paiement. Enfin, il faudra gérer l’authentification des parties, c'est-à-dire les clients et les banques, afin de garantir la confidentialité et l’intégrité des données transmises et de confirmer que le paiement a été sécurisé. Ces transactions entraînent des coûts importants.

Monnaie et portefeuille électroniques

Le paiement en ligne reste une solution de paiement préférée par certains consommateurs, qui verront le principe de la double banque comme plus fiable et en mesure de libérer les dépenses plus importantes, ce que vous souhaitez. Néanmoins, la monnaie électronique tend  à se généraliser ; vous avez tous au moins une fois acheté de petits achats quotidiens : pains, courses... !

Monnaie en ligne

La monnaie électronique se substitue donc à vos pièces et billets de banque ; elle est généralement stockée sur un support électronique, ce qui posera d’ailleurs de nouvelles questions : ce support est-il fiable ?

Les banques offrent de plus en plus des moyens de paiement que l'on appelle des dépenses en micropaiement ; ce sont des échanges plus nombreux, pour pouvoir assurer des achats d'un petit montant, effectués à partir de cartes à puces embarquées sur votre mobile ou votre carte de crédit, ou même en partie sur votre ordinateur.

Sans contact

Récemment, on a pu voir arriver une multitude de solutions avec le "sans contact", à partir des technologies NFC. Vos téléphones seront de plus en plus équipés d'une interface de communication NFC, de la même manière qu'ils possèdent une interface WiFi et Bluetooth. L'avantage du NFC est de faire communiquer 2 appareils NFC (lecteur nomade, enceinte sans fil) sans configuration, alors que le Bluetooth ou le WiFi requièrent des protocoles d'appairage ; de plus, le NFC leur permettra d'échanger des informations, des URL, des liens, etc. en faible débit (pas de fichier multimédia, par exemple). Le NFC est prévu pour fonctionner selon trois modes de fonctionnement distincts :

  • mode émulation de carte, ou mode "passif".

La carte NFC du terminal mobile fonctionne comme une carte à puce sans contact, semblable à une carte SIM, pour stocker des informations de façon chiffrée et sécurisée : carte de fidélité, coupons de réduction d'une franchise... ;

  • mode lecteur ou mode "actif".

La carte NFC du terminal mobile peut, en approchant son mobile de « tags » ou  « radio-étiquettes » (étiquettes électroniques), lire et collecter des informations. Elle est utilisée pour des services de proximité comme les horaires de bus, des cartes de visite, le parcours d'une visite de musée, etc. Un « tag NFC » est une étiquette électronique équipée de la technologie NFC ;

  • mode "peer to peer" (pair-à-pair).

La carte NFC du terminal mobile échange des informations avec un autre appareil équipé de la technologie NFC, sans passer par Internet.

Sur ce même principe, les échanges de monnaie ont été mis en place avec cette technologie du "sans-contact", qui a en quelques années envahi notre quotidien. C'est toujours le même principe : ce système de paiement en ligne fait intervenir la validation de la banque entre le consommateur et le commerçant, mais ces contrôles se font en quelque sorte "avant paiement". En effet, afin de fluidifier les échanges et d'apporter plus d'agilité avec ce mode de paiement "sans contact", et ce, tout en limitant les risques de "vol au terminal", les banques se sont mises d'accord pour définir sur la carte un plafond de dépenses autorisées ; par exemple, un paiement "sans contact" est actuellement plafonné à 30 €. Ce principe fluidifie grandement les transactions , évitant des compensations intermédiaires qui consomment du temps et de l'argent.

Le Bitcoin

Le Bitcoin est une monnaie dématérialisée sur Internet ; l'échange est entièrement crypté. On dit pour cette raison que le Bitcoin est de la crypto-monnaie ; il fait partie des systèmes de monnaie électronique. Cette crypto-monnaie n’a pas de forme physique, son unité de mesure, le bitcoin (avec minuscule), n’est lié à aucun gouvernement et  s’échange en peer-to-peer.

Architecture technique d'un SPE

Cette diversité de systèmes de paiement électroniques ouvre des perspectives énormes, mais tend à perdre le consommateur dans ses choix au moment de ses achats.

C'est pourquoi il existe une tendance, actuellement, d'intégrer toute cette diversité de systèmes de paiement en ligne ; l'architecture générale ressemblera dans le futur à la solution suivante :

Architecture technique d'un SPE (Source : https://hal.archives-ouvertes.fr/tel-01419220/document)
Architecture technique d'un SPE (Source : https://hal.archives-ouvertes.fr/tel-01419220/document)

Aujourd'hui, les systèmes de paiement ont des architectures techniques très souvent adaptées au SPE ; nous détaillons :

  • les tiers de systèmes de paiement en ligne et HTTPS ;

  • les banques avec le protocole SET ;

  • les banques et le 3D secure ;

  • la monnaie électronique.

Tiers SPE
Principe d'authentification
Principe d'une architecture sécurisée de paiement en ligne via un organisme bancaire
Paiement sécurisé SSL

Lors d'un paiement sur Internet, les sites web utilisent généralement une connexion chiffrée de type HTTPS entre l'ordinateur du particulier ou de l'entreprise et celui du service de paiement et du e-commerçant. Le "S" présent derrière HTTP signifie "secure", c'est-à-dire que la connexion entre votre ordinateur et le serveur de paiement est chiffrée par le protocole TLS (ou SSL). La grande majorité des navigateurs web affichent un petit cadenas (en haut à gauche du schéma) dans un des coins de l'écran. Cet échange, comme nous le montre le schéma, se déroule en 4 phases :

  1. 1 vers 2 : Le client émet d'une demande d'achat (son caddie).

  2. 2  vers 1 : le serveur FO demande un règlement, également les informations sur le moyen de paiement.

  3. 1 vers 3 : le client envoie ses éléments au tiers de confiance "e-paiement".

  4. 3 vers 2 : le centre de paiement valide la transaction et le fait savoir.

SET

La 1re génération de protocole sécurisé pour les systèmes de paiement  était le protocole SET (Secure Electronic Transaction) ; il se déroule de façon similaire à partir d’un compte bancaire, sauf qu'il fait intervenir les 2 banques, celles du marchand et du client (porteur) :

  • l’enregistrement du porteur auprès de sa banque. La banque se charge de vérifier son identité à l’aide des clés publiques et des clés privées. La banque accepte sa clé publique, celle-ci va recueillir une signature pour faire parvenir à son client une carte. Il va recevoir un certificat pour réaliser son achat ;

  • l’ordre d’achat. Le marchand possède également un certificat correspondant au SecurID du client, le client l’authentifie et laisse parvenir un n° d’achat, ainsi que les informations de paiement. Le marchand se charge de retransmettre à la banque le message contenant les informations de paiement, après avoir vérifié son intégrité ;

  • le paiement sera réalisé à travers la passerelle de paiement. Puisqu’elle aura vérifié les données bancaires, elle va autoriser le marchand à finaliser la transaction à partir de la banque. Ce dernier va répondre à la norme d’achat du client, puis ensuite demander le
    paiement à la passerelle.

3DSecure

Le système de paiement le plus sécurisé aujourd'hui est "3D Secure". Dans une transaction en commerce électronique, le client doit fournir au minimum le n° de sa carte bancaire, la date de validité de celle-ci, ainsi que les 3 chiffres figurant au verso de la carte. Un niveau de sécurité supplémentaire a été introduit pour les transactions en ligne avec "3D Secure" : il s’agit d’un ensemble de procédures permettant d’authentifier le titulaire de la carte qui effectue l’ordre de paiement. 3D Secure va permettre d’ajouter une phase (rendant forcément plus complexe le paiement) qui augmente la sûreté du paiement.

Logo 3D Secure
Logo 3D Secure

Entre temps, une 3e phase va intervenir : le marchand va interroger la banque du client, si la réponse est positive, un code personnalisé sera envoyé au client via SMS ; le client fournit alors à son tour le code de sécurité à sa banque. Si cette étape est réussie, la banque du client va transférer la responsabilité sur la banque du marchand. On voit que cette étape supplémentaire permet de garantir la confidentialité et l’authenticité du client, et le code envoyé via SMS va certifier la transaction.

Donc, à ce niveau-là, on voit que les systèmes de paiement se sont largement modernisés pour répondre aux besoins des transactions plus sécurisées ; mais on peut sur le plan général, en prenant du recul, que les systèmes de paiement engendrent de nouveaux risques, du fait que nous avons des réseaux de paiement ouverts. On vient de voir qu’on fait intervenir un réseau Internet, que ce soit entre le client et le marchand ou le client et sa banque, ou encore entre les 2 banques.

Donc, cette complexité de réseaux ouverts entraîne de nouveaux risques qui ne sont plus seulement opérationnels  :  est-ce que la monnaie est bien compensée ? Mais qui vont également être juridiques (problème de réputation). Imaginons une banque ayant mauvaise réputation sur Internet pour des raisons d’incidents ou de sécurité - qu’en est-il du paiement qui va s’opérer avec cet argent ?

Les monnaies numériques

Depuis l'adoption de la directive du 24 avril 2009, la monnaie électronique est  définie (article 2) comme une "valeur monétaire représentant une créance sur l’émetteur qui est stockée sous une forme électronique et émise contre la remise de fonds aux fins d’une opération de paiement." Cette valeur est donc inscrite au "bilan" de l’émetteur, et devient une dette exigible utilisable dans les échanges. On distingue les systèmes de paiement par monnaie électronique :

  1. Centralisés.

  2. Décentralisés.

Monnaie électronique (1)

La monnaie électronique est régulée et contrôlée par une banque ou un réseau interbancaire, comme les cartes prépayées en réseaux de paiement comme Visa, MasterCard, ou les fournisseurs de services en ligne comme PayPal. En ce sens, il y a une centralisation des transactions.

Contrairement au Bitcoin, la monnaie électronique est rattachée à une devise de référence et constitue une réserve de valeurs ; elle permet en outre de développer de nouveaux moyens de paiement comme les chèques-cadeaux ou tickets-services. La plupart du temps, la monnaie électronique est émise par une institution contre une remise de fonds, et sa valeur est exprimée en monnaie nationale (€). Elle est acceptée comme moyen de paiement par d’autres parties que l'émetteur ; elle facilite en cela une régulation des échanges.

Monnaies virtuelles : exemple du portefeuille Bitcoin (2)

Les services de monnaie décentralisés sont dépourvus d’un émetteur particulier, et la valeur monétaire n'est pas exprimée dans une monnaie nationale (Bitcoin). Ces monnaies, également appelées monnaies virtuelles, dans la mesure où les transactions s’effectuent directement entre les usagers via un réseau informatique, se distinguent de la monnaie fiduciaire (papier) car elle ne possède aucun émetteur central (pas de planche à billets ni de régulation). De plus, elle ne nécessite aucun intermédiaire, ce qui présente l'avantage d'être rapide et confidentiel.

En revanche, afin que le système s'autorégule, chaque transaction est inscrite dans un bloc ; bloc après bloc, un grand livre des comptes publics se crée sur cette chaîne de blocs (blockchainchaîne de blocs, ou registre destransactions), enregistre toutes les transactions par ordre chronologique, ce qui le rend vérifiable par chacun, et apporte la traçabilité des transactions ; c'est avec cela qu'il il va empêcher justement un utilisateur mal intentionné de dépenser sa monnaie auprès de deux destinataires différents (double dépense). Aussi, alors que la monnaie fiduciaire permet de forger de faux billets et de les utiliser plusieurs fois, ici, cette possibilité est rendue quasiment impossible, le principe du "hash" rend unique chaque version de grand livre, et le principe de la décentralisation le rend vérifiable aux yeux du grand nombre.

La première chose à faire sera donc de vous créer une portefeuille Bitcoin. Là, vous avez le choix ! Les critères principaux pour commencer seront la sécurité, la facilité d’utilisation et la légèreté (mémoire) ! Mais au fur et à mesure, il vous faudra prendre en compte d'autres critères comme la disponibilité de la plateforme, le nombre de personnes pouvant signer (multisig).

Sur le plan technique, un portefeuille Bitcoin génère et stocke un couple de clé publique/clé privée pour certifier la bonne réalisation de vos transactions et en assurer l’intégrité. Votre clé publique vous servira d'adresse "Bitcoin" pour être repéré de façon unique dans le réseau et en particulier recevoir des transactions ; votre clé privée vous permettra de signer vos dépenses. Donc, finalement, dépenser, c'est envoyer des bitcoins et c'est signer votre transaction avec votre clé privée. Tout cela est automatique et se déroulera avec votre portefeuille électronique (wallet).

Supposons que vous souhaitiez envoyer à votre ami des bitcoins ; vous créez une transaction avec votre porte-monnaie électronique. Votre application va également publier cette transaction. Nous avons vu que quand nous envoyons (dépensons), nous signons avec notre clé privée. Dans cette transaction, vous signerez avec votre clé publique mais avant, vous indiquerez le montant en bitcoins que vous destinez à votre ami, et vous ajouterez votre clé publique et celle de votre ami. Jusque là, c'est assez semblable à un échange via un système à clé publique ; mais vous allez faire quelque chose de particulier, que l'on ne fait pas dans la monnaie traditionnelle : vous allez intégrer tout l'historique des bitcoins que vous envoyez à votre ami (c'est-à-dire toutes les transactions qui ont permis d'obtenir depuis le début ces bitcoins).

Une fois cela terminé, vous envoyez la transaction, votre ami reçoit vos bitcoins et les stocke dans son portefeuille.

Donc, vérifier votre transaction, c'est également vérifier l'intégralité de la chaîne ayant permis d’obtenir vos bitcoins ; votre ami ne peut qu'avoir confiance !

On peut revenir sur cette notion particulière de l'historique des transactions ; cet historique a permis d'obtenir les bitcoins envoyés. Mais en réalité, votre solde de bitcoin n'est écrit nulle part, ;en revanche, il se calcule à partir de cette chaîne : l'historique de toutes vos transactions depuis la création du système. Ceci est étonnant, chaque nœud possède une copie de tout cela, régulièrement mise à jour ! De plus,  cette transaction aura été validée par les membres du blockchain : plus le nombre de membres qui auront validé ce bloc est élevé, plus la transaction sera sûre. Ce processus de validation d'une transaction est en effet réalisable par tous les membres du réseau Bitcoin qui ont la clé publique.

La menace

Le commerce, les transferts d’argent, les comptes bancaires en ligne, se sont développés de façon considérable pendant ces dernières décennies ; néanmoins, de par les nouvelles fonctionnalités et l'ouverture qu'elles offrent, ces technologies exposent d'une nouvelle manière l’argent des usagers.

S'ajoutent aux risques bancaires traditionnels : risques de crédit, de liquidité, de marché et de change, un certain nombre de nouveaux risques inhérents aux technologies de pointe embarquées sur les terminaux de paiement, cartes bancaires mais également sur la chaîne de e-paiement.

Architectures de paiement électronique et les menaces
Situations vulnérables sur les situations d'usage de paiement électronique et les menaces
Les fraudes avec les cartes

C'est l’utilisation d’une carte par une personne qui n’en est pas le titulaire légitime :

  • l’utilisation par un tiers d’une carte perdue ou volée ;

  • la contrefaçon d’une carte, qui concerne le plus souvent la piste magnétique, et qui s'effectue soit par une personne malveillante, soit grâce à un dispositif placé sur le terminal de paiement ou sur le DAB - est connue sous le nom de "skimming", dans les pays où la technologie de la carte à puce n’est pas utilisée ;

  • l’utilisation de données bancaires, identifiants de la carte (numéro, date d’expiration…) par une autre personne que le titulaire, alors que celui-ci est toujours en possession de sa carte. Ce type de fraude concerne la vente à distance, et plus généralement les données bancaires.

Les attaques sur vos données bancaires

Toutes vos données bancaires peuvent être exposées à une perte de confidentialité, d'intégrité et de disponibilité ; ces attaques sur les données bancaires devront être étudiées pour le vol, la modification, la destruction, la perte, la divulgation des données de paiement. Parmi ces données, nous trouverons :

  • les données de paiement ;

  • les données d'accès à votre compte bancaire ;

  • les données personnelles lors de vos navigations.

Sur vos  données de paiement

Utiliser des données de paiement est une manière efficace et populaire de faire du profit rapidement. Les données de paiement sont les n° de carte, identifiant, SMS...

  • Compromission de vos terminaux (mobiles, ordinateurs...)

Bien que les banques essaient de protéger leurs clients, les attaques contre les particuliers sont courantes. Pirater une banque prend plus de temps, revient plus cher et le risque de se faire attraper est plus élevé. À l’inverse, de nombreux particuliers utilisent des ordinateurs qui contiennent de nombreuses vulnérabilités, et qui sont donc plus faciles à compromettre.

Aujourd'hui, la fraude à la carte bleue en ligne représente 0,161 % du montant total dépensé sur Internet. Soit un euro de fraude pour 620 euros de paiement, révèle le rapport annuel de l'Observatoire de la sécurité des moyens de paiement. Un chiffre encore beaucoup trop élevé selon la Commission européenne. Par exemple, la 3e phase de 3D Secure vous envoie un code personnalisé via SMS ; ce code peut être utilisé par un individu malveillant dans votre cercle proche, qui a usurpé votre connexion ou volé votre téléphone.

  • Vol des données de paiement

Une plus grande attention devra être portée sur les petits larcins : en détournant ou volant une somme modeste de milliers de comptes bancaires, un cybercriminel a de bonnes chances de ne pas être détecté. En particulier, les attaques contre les particuliers,  de surcroît plus facilement automatisables, ne demandent qu'une faible intervention de ces cybercriminels.

  • Fuite du numéro de carte bancaire

Pour pouvoir usurper les identités bancaires, le pirate va tenter de les obtenir en utilisant une multitude de modes opératoires  (= fuite des données bancaires). Des exemples récents ont montré comment se passe à l'interception du numéro de carte bancaire de l’entreprise pour soutirer 1 000 euros.

Fake URL

Le "l" de Paypal a été remplacé par un "I". Le nom de domaine de l'attaquant est : paypai.com et le nom de son serveur web : www.paypai.com

resse
Principe de la fausse adresse URL (Fake URL)
"Contact" NFC

Les monnaies électroniques exposent également de plus en plus, et génèrent de nouveaux risques par manque de protection des usagers, et manque d’informations sur les nouvelles modalités de paiement électronique :

  • indisponibilité du moyen de paiement

La perte ou le vol de votre smartphone entraînera l'indisponibilité de votre moyen de paiement, de votre titre de transport, etc. ;

  • vol de valeurs bancaires

La fuite de vos informations sera facilitée du fait de la facilité d'échange du NFC (sans contact pour prendre de l'information, sans contact pour se la faire prendre !) : collecte sur vos informations personnelles, vos habitudes de consommation...

Les données bancaires personnelles

La donnée représente (comme on a vu à plusieurs reprises) le nouvel or noir des grands acteurs de l’Internet. La donnée est fondamentalement véhiculée et valorisée par ces nouveaux business modèles, au cœur desquels sont bien souvent présentes les banques, mais pas les usagers, qui n'ont pas forcément conscience de ce qu'ils détiennent et donnent à leur banque ; sans compter que ces informations mal protégées peuvent fuir et leur vie privée pourrait en être menacée. De nombreux renseignements sur la vie privée des usagers sont actuellement valorisés, revendus par ces acteurs, bien souvent à l'insu des usagers.

Exemple
Illustration d'une fuite de données par cookie
Les vulnérabilités logicielles

Les mécanismes de sécurité décrits sont complexes ; ils mettent en jeu des mesures de sécurité robustes, comme l'authentification 2 à 3 facteurs (biométrie, les SMS de 3D Secure) ; il n'en est pas moins important de considérer que les vulnérabilités des logiciels déployés pour cela restent une véritable question de sécurité.

Les bonnes pratiques du paiement sur Internet

Il convient que l'usage des systèmes de paiement bénéficie d'un encadrement strict, d'autant que parmi ces technologies, certaines sont nouvelles et encore peu matures. Le législateur, que ce soit via l'ANSSI ou a Commission nationale de l'informatique et des libertés (CNIL) veille à la  protection du consommateur. Il existe également les filières pour les banques, comme le groupement des cartes bancaires :, et pour le commerce électronique, comme la Fevad.

Ces organismes vous donneront également les meilleurs conseils pour vous protéger.

Les mises à jour et la surveillance de vos logiciels

Il est donc important de maintenir à jour vos logiciels : navigateur, add-on,  système, outils SSL, iPhone... tout ce que vous utilisez  lors de transactions électroniques, afin d'éviter que les failles logicielles et matérielles soient exploitées.

Votre navigateur dans les SPE et vos données bancaires

Il convient de choisir vos partenaire système de paiement électronique (SPE). En France, des autorités sont garantes de la sécurité des services proposés, ainsi que du respect des données personnelles des usages des SPE :

  • l’Autorité prudentielle de contrôle et de résolution (ACPR) délivre un agrément aux SPE et garantit leur sérieux pour protéger votre épargne ;

  • l’Autorité des marchés financiers (AMF) représente le régulateur national en charge de veiller aux conditions générales et au respect des procédures et des obligations liées au statut bancaire ; 

  • le groupement des cartes bancaires : http://www.cartes-bancaires.com/fr/missions/cb#nav0.

Il convient également que vous portiez attention à vos actions pour établir votre transaction en ligne :

  • contrôlez la présence du cadenas dans la barre d'adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs) ;

  • de même, vérifiez l'adresse avec le "S" de "HTTPS" dans l'adresse URL du site Internet de votre SPE, dans la barre de votre navigateur ;

  • vérifiez au même endroit et en même temps l'exactitude de l'adresse URL, en prenant garde aux fautes d’orthographe ;

  • lors d’un achat en ligne, privilégiez la méthode 3D Secure ou autre via un SMS, en prenant garde aux yeux et oreilles indiscrètes, et à ne pas vous faire voler votre mobile ;

  • discutez avec votre banque pour vous informer des moyens sécurisés les plus récents.

Protégez votre carte bancaire
Votre numéro de carte bancaire par l'ANSSI

Les recommandations de l’ANSSI sont claires pour protéger votre numéro de carte bancaire lors d’un achat électronique  :

  1. Privilégiez la méthode appliquant l’envoi d’un code de vérification par SMS.

  2. Ne transmettez jamais votre code confidentiel ni le numéro de votre carte bancaire.

  3. N’hésitez pas à vous rapprocher de votre banque pour consulter et demander les offres de sécurité qu’elle propose, comme 3D Secure.

Règles de prudence d'usage de votre carte bancaire par le groupement des cartes bancaires
  1. N’écrire nulle part son code confidentiel, ni le communiquer à un tiers, quel qu’il soit.

  2. Toujours composer le code confidentiel à l’abri des regards indiscrets, en masquant, par exemple, le clavier de son autre main.

  3. Ne pas composer 3 fois de suite le code confidentiel erroné, lors d’un retrait ou d’un paiement.

  4. Ne pas se laisser distraire par un tiers lors d’un retrait.

  5. Conserver sa carte en lieu sûr et ne la confier à personne.

  6. Conserver ses tickets (y compris électroniques) et vérifier régulièrement ses relevés bancaires.

  7. Signaler immédiatement à la banque toute anomalie sur son relevé bancaire.

  8. Ne jamais perdre de vue sa carte pendant le paiement chez un commerçant.

  9. Mettre immédiatement la carte en opposition si elle est conservée par un distributeur, perdue ou volée.

  10. Garder en lieu sûr le numéro de la carte et sa date d’expiration pour pouvoir la mettre en opposition plus rapidement.

  11. Pour partir en congés en toute tranquillité, suivez ces conseils :

En cas de perte ou de vol de sa carte bancaire CB, il faut immédiatement faire opposition en appelant le centre d’opposition de sa banque ou à défaut le 0892 705 705 (0,35 euros/minute, accessible 7j/7 et 24h/24).

En cas de séjour à l'étranger , avant de partir :

  1. Regardez la date de validité de votre carte et, le cas échéant, demandez son renouvellement anticipé.

  2. Assurez-vous que vos plafonds de retrait et de paiement sont adaptés. S’ils ne le sont pas, voyez avec votre banque s’il est possible d’envisager un relèvement, même temporaire.

  3. Vérifiez que votre carte est acceptée dans le pays où vous vous rendez.

  4. Emportez avec vous le numéro de téléphone de votre banque pour pouvoir la joindre facilement en cas de besoin. 

 En cas de séjour à l'étranger , sur votre lieu de séjour :

  1. À l’étranger prévaut parfois la facturette avec signature après lecture de la piste magnétique de la carte et transmission de l’autorisation de paiement. Les demandes d’autorisation de paiement sont quasi systématiques, quel que soit le montant de l’achat.

  2. Vérifier les montants : bien vérifier son ticket avant la signature, notamment veiller à approuver le montant total de sa facturette, car il existe parfois un total intermédiaire suivi d’une ligne supplémentaire pour le pourboire.

Lutte contre la fraude

Les banques disposent d'un référentiel des fraudes (SICB) pour caractériser plus finement  les fraudes constatées (mode opératoire, lieu...), en vue de détecter rapidement les opérations suspectes (retraits inhabituels dans un pays étranger...) ; de nombreuses coopérations interbancaires  existent :

  • Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) ;

  • brigade des fraudes aux moyens de paiement (BFMP) ;

  • gendarmerie nationale (IRCGN).

Il vous faut, pour votre entreprise, vous rapprocher des organismes pour vous informer des fraudes en vigueur.

Tweet de la Police nationale
Tweet de la Police nationale

Séparez les usages personnels des usages professionnels

Ce cours a été élaboré avec le Conservatoire national des Arts & Métiers

L'objectif sera de comprendre les enjeux de production et de sécurité, de séparer les applications personnelles et professionnelles de vos collaborateurs, de savoir quel est leur mode de fonctionnement le plus courant, en particulier ce que l'on appelle le MDM ; puis l'utilisation malveillante de la non-séparation de ces applications. Enfin, comment mettre en place une bonne cohabitation de ces environnements.

Lorsque vous rapportez du travail chez vous le soir, pour avancer si vous n’aviez pas eu le temps dans la journée, vous allez être certainement concerné par cette bonne pratique de sécurité  Aujourd'hui, avec les PC et les mobiles, on n’est plus évalué sur "le travail que l'on fait à son bureau" mais "au travail que l'on ne fait pas" ; peu importe le lieu de travail, car on peut être tout le temps ou jamais à son bureau, on peut travailler n’importe où et à n’importe quel moment de la journée, votre entreprise ne pourra pas vraiment évaluer ce que vous faites, sauf si elle est organisée pour cela.

Qu’est-ce que séparer les usages personnels des usages professionnels ?

Les Américains ont appelé ça le BYOD (Bring your own device), et ça marche aussi avec BYOL (Laptop), BYOC (computer), etc., donc tous les dérivés de ces mobiles ; en réalité, cela consiste à gérer la mobilité. Pour information, en France on dit « Apportez votre appareil numérique » (AVAN).

COPE (Corporated Owned, Personnaly Enabled) : utilise chez toi ton matériel professionnel, propriété de ton entreprise et choisi par elle.

CYOD (Choose Your Own Device) : utilise chez toi ton matériel professionnel, tu choisis dans un catalogue d’équipements nomades ayant reçu l’agrément de l’entreprise.

BYOA (Bring Your Own Applications) : utilise tes applications à ton bureau en mode SaaS ou non, pour le stockage de tes données (ex: Dropbox, iCloud, SkyDrive) ou votre production logicielle (présentation LibreOffice).

Situations d'usages courants du BYOD

Le BYOD permet de réduire les coûts d'acquisition et de maintenance des équipements des collaborateurs de l'entreprise : chacun achète et gère ses outils, ses applications. De plus, chacun choisit son outil de travail, à sa manière et devient responsable de l'usage qu'il en fait. C’est leur device !

De fait, on constate une amélioration de la productivité et de l'accès aux applications professionnelles :  téléphonie, messagerie...

Exemple
Différentes situations d'usage du mixte "personnel/professionnel" (BYOD)
Le principe du BYOD

Vous disposez d’applications, comme indiqué sur le schéma (messagerie, Word, Excel et les applications de stockage). Donc, par exemple, la messagerie que vous voyez ici, elle a plusieurs boîtes de réception :

  • Cnam –Véronique ;

  • Free – Véronique, 

  • MAISON – Véronique où, avec ma famille, on partage des photos et des informations.

On voit que mes informations personnelles et professionnelles se mélangent.

Autre exemple particulier, vous êtes dans Word. Vous avez aussi bien à manipuler des fichiers personnels (facture de téléphone, déclarations d’impôts), et au milieu de tout cela vous avez un dossier professionnel avec un contrat de vente avec un certain M. X ; et puis je vois aussi un autre contrat de vente avec un concurrent de M. X. Il se peut que j’affiche tout cela indépendamment de ma volonté devant ma famille, ou devant, éventuellement, les concurrents de M. X.

Exemple
Organisation BYOD des applications, de la messagerie et du stockage.

Et puis, il y a aussi le stockage où on voit par exemple un « Dossier PatientX » si vous êtes médecin, et un « Dossier Home » juste à côté. Alors, en quoi cela est-il gênant ? (Je reprends le schéma qu’on avait fait tout au début avec des architectures réseaux).

Les architectures techniques

Du côté de l’entreprise, c’est une toute autre question qui se pose : il est de première importance de gérer cette question de partage de ressources travail/privé. Le MDM (Mobile-Device-Management), ou EMM (Enterprise Mobility Management), sont des termes qui élargissent la portée du BYOD pour appliquer une solution d'administration et de sécurité au besoin de mobilité, quelle que soit l'origine de l'appareil. L'idée est de permettre aux collaborateurs de votre entreprise d'utiliser des smartphones et des tablettes au regard des règles de gouvernance, pour protéger vos actifs.

Entre BYOD et MDM, l'idée est de sécuriser vos données tout en laissant à vos employés la liberté de travailler hors vos murs. La différence entre BYOD et MDM repose sur l'origine de l'appareil mobile (COPE). On appelle ça le MDM (gestion des terminaux mobiles), le MAM (gestion des applications mobiles), le MIM (gestion des informations mobiles), et l’EMM (gestion de la mobilité d’entreprise). La figure ci-dessous montre les impacts entre le choix BYOD et MDM dans le management de la flotte de mobiles ; le BYOD échappe à la gestion de l'entreprise sur les données, les applications et le terminal. Il sera donc préférable de mettre en place une solution de type COPE pour une maîtrise forte des terminaux et de la mobilité.

Comparaison des modes COPE et BYOD
Comparaison des modes COPE et BYOD

Comme nous l'avons déjà expliqué, il s'agit de mettre en œuvre une solution pour favoriser l’usage de la mobilité en entreprise, tout en permettant de cloisonner les usages personnels et professionnels selon les 2 principes de sécurité que nous avons déjà abordés :

  • défense en profondeur ;

  • principe des moindres privilèges.

Les fonctions d'administration de la flotte de mobiles et des équipements assurées par le MDM seront  :

  • le déploiement de nouveaux équipements à intégrer à l’entreprise, mises à jour… ;

  • la sécurité : géolocalisation, effacement et blocage à distance, chiffrement, VPN… ;

  • Lla gestion de parc : identification, activation/désactivation, suivi, reporting… ;

  • la configuration, comprenant aussi les accès réseaux.

Le MDM constitue également une plateforme technique ; deux grandes catégories d'architectures techniques émergent pour parvenir aux cloisonnement et moindres privilèges :

  • par conteneur : chaque environnement (travail/privé) est déployé dans un conteneur virtualisé, chiffré, isolé et embarqué sur le matériel. Aussi, chaque conteneur est entièrement isolé de l'autre et les flux sont chiffrés ; on trouve par exemple des solutions VMWare ;

  • par sandbox : l'environnement applicatif "professionnel" est isolé des données professionnelles et isolé des autres applications et données ;  les flux et données des VM sensibles (professionnelles) sont chiffrés.

Il existe plusieurs solutions reconnues, comme « Mobile Iron » ou « AirWatch », et d'autres comme « FiberLink ».

La menace

L'espionnage est un point crucial, car il y a bien des fragments du système d'information qui se promènent de façon peu protégée dans les différents coins du monde.

Il y a également la capacité à propager un code malveillant ; le BYOD constitue un point d'entrée et un vecteur inespéré pour permettre à un attaquant de déployer et propager un virus, un code via le mobile BYOD une fois de retour dans l'entreprise.

Risque systémique
Exemple
Situations vulnérables liées à l'usage du BYOD, en particulier points de cohabitation entre données personnelles et professionnelles

On voit avec le signe "=" les points de faiblesse des architectures BYOD ; à ces points, des attaques spécifiques vont être menées  par des individus malveillants.

Les attaques
Les attaques
Surfaces d'attaques offertes par le BYOD

La propagation des codes malveillants s'étend aux équipements personnels si le code malveillant vient de l'équipement professionnel ; mais en plus, expose les équipements professionnels de toute l'entreprise si le code malveillant provient de l'équipement personnel. En somme, tout programme offre des points d’entrée aux programmes qui vont communiquer avec eux de façon automatique.

C'est donc une lourde responsabilité que détient le collaborateur. On voit qu'une architecture en BYOD, dès lors que l'on couple les drives personnels et professionnels,est très dangereuse.

Sur cette architecture, on a aussi des points d’entrée avec des flux communs, les flux de données personnelles (la communication avec la famille) et les flux de données professionnelles qui sont sur le réseau domicile. Si vous êtes par exemple dans un café ou dans une gare, eh bien tout cela sera visible pour tous les utilisateurs du réseau Wifi.

Enfin, vous êtes souvent connectés aux bornes WiFi (publiques ou privées) et là, les points d’entrée sont également les bornes où les attaquants peuvent prendre possession des flux, afin de vous rediriger vers des sites pirates ; ainsi vos données personnelles se trouvent exposées au grand danger.

Cette architecture vous expose souvent au risque que des personnes malveillantes volent des informations sensibles de votre entreprise après avoir réussi à prendre le contrôle de votre machine personnelle, des programmes personnels, ou par le biais de vos programmes personnels.  Tout est à la fois cible et vecteur d’attaque.

Les bonnes pratiques

Face à cela, l’ANSSI a mis les entreprises en alerte sur ce genre d’usage, et a notamment publié plusieurs guides sur les bonnes pratiques, qui finalement sont peu mises en œuvre par les entreprises, parce que toutes ces informations sont en évolution permanente.

Les collaborateurs :
  • ne téléchargez pas des applications sur votre smartphone de façon quotidienne, parfois dans un but tout à fait louable pour l’entreprise, parfois dans un but personnel : cela rend difficile leur contrôle et leur administration ;

  • faites la séparation des usages personnels et professionnels ; il peut vous arriver de changer de portable et donc d' abandonner inconsciemment des fragments d’informations qui peuvent être exploités par un tiers ;

  • n’utilisez pas votre messagerie professionnelle à des fins personnelles, car dans les premiers exemples que je vous ai montré qu’il y avait 2 messageries. Ne faites pas de copié-collé ni de transfert de l’une vers l’autre, parce que vous pouvez avoir des liens malicieux qui sont dans les mails, et c’est vous qui feriez votre propre attaque ;

  • utilisez les moyens de stockage en ligne mis à disposition par l’entreprise, et pas les moyens de stockage personnels comme Cloud ;

  • évitez de connecter des supports amovibles (disque dur ou clé USB) sur vos ordinateurs personnels, parce que probablement vous n’avez mis en place aucune politique d’interdiction – ce sont des précautions particulièrement techniques qu’il faut connaître, et que vous n’aurez certainement pas prises.

L'entreprise

Tout ceci consiste à définir les bonnes pratiques pour éviter que certaines données ou informations puissent être la cible des attaques informatiques. Cela concerne à la fois vous et vos collaborateurs ; comme chacun sait, les collaborateurs, eux, ne cherchent qu’une chose à faire, c’est faire leur travail ; donc ils ne se limiteront pas avec des règles de sécurité qui vont les ennuyer.

Donc :

  • vous, entreprise, ayez une responsabilité  du point de vue juridique ; les choses ne sont pas très claires pour les données de l’entreprise qui sont sous contrôle et manipulation des salariés, la charte d'usage signée par le salarié est une bonne recommandation ;

  • désabonnez vos utilisateurs, parce que les identifiants (IMEI, MAC adress) des smartphones de vos salariés  seront peut-être réutilisés ; on peut avoir un accès aux données de l’entreprise. C’est pour cela que l’entreprise va être vigilante par rapport à la liste des appareils personnels autorisés à travailler avec l’entreprise ;

  • proposez un catalogue d'applications le plus complet possible, pour éviter des initiatives personnelles de vos collaborateurs ;

  • soyez également à leur écoute, ils ont des idées d'applications sympas, si vous les validez, mettez-les à leur disposition !

  • faites connaître à vos collaborateurs vos listes d’applications et de sites web approuvés, comme interdits.

Prenez soin de vos informations et votre identité numérique

L'objectif sera de comprendre les enjeux de sécurité des informations personnelles, professionnelles et de votre identité ; vous découvrirez leur fonctionnement, leur mode d'usage le plus courant puis l'utilisation malveillante que l'on peut en faire, comme la manipulation (phishing, "fake news", escroquerie), l'espionnage, les fausses informations et la recommandation. Enfin, nous apprendrons comment prendre soin de ces informations numériques.

Les enjeux de vos données personnelles

Les informations personnelles vous permettent d'interroger le moteur de recherche avec plus de facilités (métadonnées : mots-clés, positionnement géographique, préférences), de renseigner également les sites que vous consultez dans vos démarches, qu'ils soient des sites marchands ou institutionnels, pour obtenir les documents que vous souhaitez  (données personnelles : nom, prénom, n° immatriculation...). Certaines informations sont plus sensibles parce qu'elles peuvent permettent de vous réidentifier ou encore de divulguer des informations que vous ne souhaitez pas publier, par exemple vos opinions ou convictions, votre appartenance syndicale, ou encore vos données biométriques. Enfin, les infrastructures que vous utilisez pour vous connecter à Internet utilisent également des informations de connexion qui vous concernent.

Les données personnelles

Elles ont été définies par la Commission nationale de l’informatique et des libertés (CNIL) ; la particularité est qu'elles ne peuvent être collectées puis  exploitées sans le consentement de leurs propriétaires ; c'est pourquoi la question "acceptez-vous..." vous est posée à chaque fois.

Une donnée personnelle consiste  en "toute information identifiant directement ou indirectement une personne physique (ex. : nom, no d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...)."

Les données sensibles

Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques, aux fins d'identifier une personne physique de manière unique ; des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Exemple
Exemple de demande de validation qu'un gestionnaire de site web peut adresser à un client pour qu'il accepte que ses données personnelles soit exploitées.
Les "cookies"

Selon la CNIL, un "cookie" est une suite d'informations, généralement de petite taille et identifiée par un nom, qui peut être transmise à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc.

Exemple de cookie
Différentes parties que l'on peut lire sur certains cookies : nom, adresse mail...
Les identifiants

Selon Wikipedia, l'identité numérique (« IDN ») "peut être définie comme un lien technologique entre une entité réelle (personne, organisme ou entreprise) et des entités virtuelles (sa ou ses représentation(s) numériques)." C'est donc la personne virtuelle qui va permettre d'assurer son travail dans l’entreprise, mais également d'effectuer des démarches auprès des organisations.

C’est donc avec une identité qu’on aura la possibilité d’accéder à des ressources (locales ou en ligne) comme on l’a vu tout à l’heure. Vous l’aurez compris, l’identité sans mot de passe ne fonctionnera pas, mais représente un enjeu capital pour l'entreprise et pour vous.

Les enjeux de vos métadonnées pour le big data (le propriétaire du site)

Elles sont également utiles pour vos fournisseurs de services, d'applications, de cloud, de vos sites marchands ; tous les sites sur lesquels vous naviguez quotidiennement. La concurrence est rude, les infrastructures sont coûteuses, elles doivent être optimisées ; c'est pourquoi vos fournisseurs de services,  les sites que vous visitez,  font des statistiques sur leurs clients (vous) afin d'améliorer le service : vous aidez à mieux trouver l'information recherchée, plus vite, adapter les contenus à vos profils dans l'optique du meilleur service.

C'est pour cela que vous acceptez la plupart du temps de fournir vos cookies.

Exemple
Stockage de vos données personnelles en données big data sur le site marchand à l'origine de la demande, en vue de l'exploitation de vos données

Comment ça marche pour protéger vos données ?

Le chiffrement comme première mesure

Le chiffrement consiste à rendre un document incompréhensible sans la clé pour le décoder ; nous avons vu en introduction et en BP1 que le chiffrement symétrique est adapté pour le transport sécurisé des données, il utilise la même clé pour coder et décoder, tandis que le chiffrement asymétrique consiste à laisser un message chiffré par une clé privée, lisible par tous ceux qui détiennent la clé publique correspondante.

Alors, on vu tout à l’heure qu’il y avait un client avec une mire d’authentification qui permet de rentrer son login et son password. Donc, on a vu comment le password était véhiculé sur le réseau, quels risques on prenait ; dans cette partie, nous allons voir comment on va utiliser une identité, quelles sont les propriétés d’une identité.

Une identité est un processus (qu’on appellera l’identification), constitué d’un ensemble de fonctions et de propriétés qu’il va falloir respecter pour pouvoir la garantir, pour optimiser la 1re fonction (phase de distribution et de vérification des identifiants). Le but va donc être d’éviter les attaques fondées sur l’usurpation de cette identité. Toute personne qui se servira de cette identité aura accès aux ressources, et pourra espionner vos activités et votre réputation ; vous pourrez donc être vu de cette manière-là.

Organisez et sécurisez l'infrastructure d'annuaire de votre entreprise

Un attaquant qui arriverait à se faire passer pour un serveur de  messagerie deviendrait une source dangereuse pour l’entreprise (et en particulier pour l’annuaire LDAP qui est au centre de notre schéma en n° 4).

En termes d’architecture, on va utiliser des protocoles réseaux comme LDAP (Lightweight Directory Access Protocol), qui répond à une norme RFC de IETF. Mais vous allez également utiliser une norme X500 qui est l’organisation des annuaires, donc l’arborescence (classifier les fiches par utilisateur).

Lorsque cet annuaire est construit, vous devez le mettre à disposition de manière discriminante en fonction des utilisateurs qui vont y venir ; par exemple, si c’est la DRH, cette dernière va alimenter l’annuaire ; si ce sont par contre les usagers (service commercial), ils vont utiliser l’annuaire juste pour authentifier, et éventuellement avoir des informations disponibles sur leur compte.

Si maintenant c’est le service informatique, lui aussi va alimenter l’annuaire avec les informations particulièrement importantes, c'est-à-dire ouverture de compte ; et on n’oubliera pas que lorsqu’un salarié part de l’entreprise, on supprime son compte et ses données personnelles en relation avec la DRH ; c’est extrêmement important de mettre en place ces process dans votre entreprise.

Sachez aussi que de nombreuses applications vont venir puiser les informations sur l’annuaire (c’est le cas de la messagerie, des bases de données, services web offerts à vos salariés) ; ces applications sont en relations avec Internet et peuvent à tout moment être un vecteur d’attaque de cet annuaire. Par exemple, un serveur de messagerie mal sécurisé pourrait directement faire une requête LDAP à un annuaire et serait légitime de le faire, puisque les deux machines ont un système d’authentification à privilèges élevés.

Principe d'authentification et d'échange de vos identifiants
Principe d'authentification et d'échange de vos identifiants

Donc, il va falloir avoir un protocole d’identification bâti sur un certain nombre de propriétés qui sont la non-répudiation, le non-rejeu, l’audit et la capacité à envoyer une alarme en cas d’usage non licite de votre identité.

Alors, que sont ces propriétés ?

La preuve de la source et du destinataire

En fait, ce sont exactement les mêmes que l’on utilise dans la vie courante. Quand vous envoyez un courrier postal, vous cherchez à garantir à votre destinataire que vous êtes bien l’expéditeur du courrier, donc c’est extrêmement important de respecter ces propriétés.

Ces propriétés de non-répudiation et d’imputabilité sont fondamentales, car elles vont permettre de pouvoir engager un échange de façon contractuelle ; il y a là une notion de contrat entre l’émetteur et le récepteur, qui ne pourront pas finalement renier leurs actes.

La 2e propriété fondamentale de l’authentification, c’est le non-rejeu, et en particulier la non-réutilisation de l’identité (ce qu’on appelle l’objet-identité), qui va garantir que la ressource (par exemple : mémoire centrale des zones de stockage sur disque) ne peut être réutilisée par personne d’autre.

Vous allez ensuite rejouer le protocole devant le gardien de prison et vous allez pouvoir entrer de la même manière ; eh bien on dira que le protocole qui existe avec le gardien n’est pas anti-rejeu parce qu’il n’est pas lié à l’identité de la personne : n’importe qui qui respecte ce protocole peut rentrer. Donc, c’est un problème car il y a réutilisation du protocole ; donc ça, en informatique, on va utiliser des mécanismes qui vont identifier par exemple un numéro de séquence, un timestamp, c'est-à-dire : à telle heure. Du coup, cela ne pourra pas être rejoué, parce qu’on est en mesure d’accéder à tout un stamp au temps. Donc, dans les réseaux informatiques, le non-rejeu est une propriété assez facile à mettre en œuvre.

Ensuite, l’audit, c’est la capacité à collecter des informations sur l’utilisation des ressources, afin de superviser si par exemple un utilisateur a réellement fait les actes pour lesquels il est autorisé ; et l’audit doit également intégrer un système d’alarme qui va alerter le superviseur du système. Donc, ces mécanismes-là, dans les systèmes informatiques, sont mis en œuvre ; c’est ce qu’on appelle « la sécurité opérationnelle », et vos objets connectés devraient permettre de faire de l’audit. Justement, un des problèmes des objets connectés, c’est qu’ils n’envoient pas forcément ces éléments à un superviseur pour des raisons d’économies, d’énergie et également de bandes passantes ; et ils ne sont pas toujours en relation avec un superviseur.

Enfin, on a parlé de non-répudiation. Il faut savoir qu’en informatique (particulièrement en sécurité des réseaux,) ce mécanisme est mis en œuvre avec des automates et les systèmes ; et c’est assez complexe, parce qu’on va mettre avec la gestion de l’identité la notion de certification de l’identité. Les usages de la clé privée et de la clé publique vont permettre  en informatique de réaliser et vérifier cette propriété ; donc, notions de clé publique et clé privée que nous avons déjà vues dans les séances précédentes.

Il y a également un autre problème qui se pose avec l’identité, c’est qu’une fois votre identité construite (votre nom & prénom, votre adresse mail), il va falloir être en mesure d’en faire la preuve. Donc en fait, on se rend compte que la preuve doit être la plus diversifiée possible, c'est-à-dire que l’on peut demander un mot de passe (vu dans les phases précédentes), mais on peut aussi demander d’autres atouts qu’on va appeler des facteurs de complexité.

Donc, au moment où on va associer une identité, on va mettre des facteurs qui vont être la preuve constitutive de cette identité. Vous avez remarqué que très souvent quand vous ouvrez un compte (= phase d’identification) sur votre banque ou sur Google, eh bien on vous demande des informations personnelles complémentaires pouvant être votre date de naissance, votre numéro de téléphone ou d’autres informations ; et on dit que ces éléments-là sont des éléments de preuves constitutive et complémentaire. En informatique, on distingue généralement 4 facteurs d’identification :

Ce que je connais

C’est que l'on représente un élément mémorial de l’individu qui est une espèce de code entre le système et lui, mais on comprend bien que l’on ne pourrait pas se fier à cet élément mémorial parce que l’on peut oublier, parce qu’il peut être volé. Pour cela, on va complexifier également la preuve constitutive.

Ce que je possède

On va rajouter par exemple des éléments sur ce que je possède ; ça c’est un élément matériel qui est un élément fort, car il fait appel à ce que vous êtes du point de vue de votre reconnaissance dans la société, c’est par exemple le cas d’une carte d’identité ou d’une carte à puce. Une carte d’identité est un élément qui vous a été remis par une autorité de confiance (comme la préfecture ou le commissariat de police local).

Ce que je montre

Ensuite, 3e élément c’est un élément  corporel qui fait appel plutôt à des éléments liés à votre physique ; par exemple, vous avez une voix, une gestuelle, etc… qui vous sont propres, tout ça, ça va faire partie des éléments de ce que je montre et tout cela (qui vous appartient) va être disponible à chaque instant. Cela suppose d'enregistrer une première fois ces caractéristiques physiques sur le serveur ;  elles ne devront pas évoluer, sinon, le serveur qui détient cette base de référence ne vous reconnaîtrait pas.

Ce que je fais

Enfin, dernier facteur, c’est ce que je fais. Ça représente une reconnaissance qu’on appellera comportementale sur l’individu ; par exemple, ça peut être une habitude, comme tous les matins je prends mon café à 8 h sur  la place à proximité de mon bureau ; ça c’est un élément d’habitude qui est extrêmement important.

Donc, dans ces 4 facteurs-là, on voit que la biométrie joue un rôle très fort puisqu’on apporte un élément fort à un élément constitutif ; c’est d’ailleurs pour cela que vous entendez parler souvent d'« authentification forte » ou « authentification faible » ; en réalité c’est un raccourci, parce que l’authentification sera forte si l’identification est forte. Donc, la biométrie va être un contributeur extrêmement fort fondé sur du physique, pour apporter une preuve constitutive de votre identité. Donc, la combinaison de plusieurs facteurs est évidemment un facteur lui-même constitutif de la force qu’on va donner à votre identité.

Aujourd’hui, on essaie vraiment de  répondre sur les 4 points, alors que pendant longtemps on a répondu juste que sur "ce que je connais", c'est-à-dire le mot de passe. (Il existe une multitude de sites web où le facteur n° 1 est le seul facteur qui est requis).

Menaces, attaque et vulnérabilités

Pourquoi met-on autant de soins à la fois dans la force de l’identité et dans la façon dont on va gérer les informations autour de l’identité ? Eh bien, parce que les attaques sont très répandues, il y a un enjeu très fort : si j’arrive à voler votre identité, en gros, c’est le jackpot ! J’ai tout. Donc c’est pour ça qu’on va mettre un soin particulier à déjouer les attaques ; mais quelles sont les attaques ?

Le vol d’identité est aujourd’hui le plus répandu, il y a 20 % d’attaques informatiques qui sont des vols d’identité. Le problème pour l’émetteur c’est que le vol est sournois ; c'est-à-dire qu’on ne voit pas qu’on se fait voler son identité, et du coup on se rend compte que son identité est volée quand on essaie d’accéder à sa ressource et l’écran s’affiche : « compte bloqué ». Là, on est embêté, c’est déjà trop tard.

Si un pirate accède à ces informations personnelles, il a encore une fois gagné le jackpot de toute l’entreprise, car toutes leurs identités personnelles et leurs informations personnelles y sont présentes. Donc un annuaire comme cela doit absolument être sécurisé. Quand vous entendez par exemple de Google qui s’est fait volé 40 000 comptes de Hotmail, etc., c’est parce que ces informations étaient sur un annuaire qui n’était pas suffisamment sécurisé ; c’est extrêmement dangereux, et vous, en tant qu’entreprise, vous avez une responsabilité personnelle sur ce sujet et vous devez protéger les données de vos collaborateurs.

La deuxième grande catégorie, c’est l’usurpation d’identité ; c'est-à-dire que pendant l’échange, tout d’un coup, vous pensez que tout va bien, vous êtes en train d’échanger, puis soudain on vous détourne la session et on vous vole votre session avec votre niveau de privilège lié à votre identité (cf. bonne pratique n°3). Vous vous retrouvez donc usurpé de votre identité mais également détourné, par exemple si vous étiez sur votre banque, de vos fonds et de tous vos biens. Donc l’usurpation est extrêmement dangereuse et engendre des conséquences énormes ; il vaut alors mieux l’éviter. Enfin, la modification d’identité : quelqu’un a réussi à faire une usurpation, un vol de session, et profite pour entrer sur le gestionnaire de votre identité et modifie votre mot de passe, votre nom d’identité ou bien vos informations personnelles.

Une attaque très connue : vol d’identifiant de session. C’est l’attaque qu’on appelle XSS (c’est du « cross crypting »). Cela consiste à vous faire lancer un script, et ensuite on va utiliser cette action que vous avez faite pour voler votre session. Comment cela se passe-t-il ?

Illustration d'une attaque en ransomware
Illustration d'une attaque en ransomware

Tout d’abord, vous allez recevoir un mail vous paraissant anodin ou intéressant ; ce mail est en fait envoyé par l’attaquant qui va utiliser toutes ses connaissances, capacités et performances en « social engineering » pour vous faire cliquer sur le lien joint à l’e-mail. L’attaquant envoie 10 000 mails forgés, et il y aura bien parmi toutes ces personnes au moins une qui va cliquer (j’espère que ce ne sera pas vous) pour arriver à construire son attaque ; donc, là, on va voir comment ça se passe.

À partir du moment où vous cliquez, l’attaquant va vous rediriger sans que vous le sachiez sur un serveur « bidon » ; vous allez voir qu’il se passe des choses et vous croyez que votre machine est bloquée ; en réalité il vous a mis en « déni de service ». À partir de ce moment-là, vous n’êtes plus présent par rapport à la session que vous avez entreprise avec le serveur banque qui est à droite ; par conséquent cette session qui était normale et légitime va finalement être bloquée en l’espace d’un instant, et c’est à ce moment-là que l’attaquant va utiliser votre numéro de session pour se présenter sous votre identité devant votre serveur bancaire pour effectuer des actions, qu’en temps normal vous êtes le seul à pouvoir faire.

Comment obtient-il votre numéro de session ?

Ce qu’il faut savoir, c’est qu’au moment où vous étiez connecté de façon légitime, vous avez inscrit ce numéro de session dans un « cookie » ; bien sûr, l'attaquant ne peut pas y accéder directement depuis votre poste de travail, mais en cliquant sur le lien joint au mail qu’il vous a envoyé, vous avez déclenché sans le savoir une commande ou un script ;  par exemple, le clic sur lien active  « document.write » qui va donc copier le « ID session » dans un fichier que l’attaquant va récupérer sur l'un de ses serveurs « attaquant » (qui est sur la gauche) ; généralement, l'attaquant utilise de façon éphémère des serveurs qu'il a piratés (zombies) afin de ne pas se faire repérer. Pendant tout ce temps, vous êtes bien sûr bloqué, en pensant que vous avez un petit problème de réseau ; sans savoir que vous venez de lui envoyer votre « ID session » et que vous venez également de suspendre votre connexion du serveur banque.

Si bien que maintenant, l’attaquant ayant récupéré votre « ID session », l'attaquant va pouvoir se représenter dans votre session et s’insinuer dans le flux légitime que vous entreteniez avec le serveur banque. Cette capacité extraordinaire est soumise à condition : il faut que le serveur puisse accepter de renouveler la session avec vous. Certaines versions de serveur (par exemple Microsoft ou Linux) le permettent. Pour cela, l’attaquant a préalablement vérifié que le serveur de la banque était vulnérable à cette attaque ; il peut très bien faire cela un mois avant tranquillement, sans que personne n’ait vu que quelqu’un essayait de tester la version du serveur, et quand bien même il l'aurait fait, la corrélation avec un mois avant cette validation et votre session piratée est impossible à faire.

Les bonnes pratiques

Donc, la description des bonnes pratiques commence toujours dans notre série par comprendre l’usage qu’on fait de l’identité numérique et des informations personnelles.

Les enjeux sont de pouvoir entrer sur des applications pouvant être locales à vos objets connectés (des applications sur Iphone ou Android) ou pouvant être distantes dans votre entreprise ou sur le cloud.

On va lister ensemble les bonnes pratiques pour éviter tout cela.

Navigation, formulaire et éléments de votre identité

Quant aux informations personnelles, il ne faut pas remplir de formulaire avec des données personnelles. Le formulaire vous demande vos informations sensibles comme : date de naissance, numéro de téléphone, adresse, etc.

Exemple
Phase d'authentification

Il ne faut pas divulguer d'informations autres que les indispensables. Par exemple : si vous voulez vous faire livrer un colis, dans ce cas vous êtes bien obligé de fournir votre adresse personnelle.

Il ne faut pas du tout garder le cookie sur vos postes, ou il faut régulièrement après chaque transaction bancaire, vider les cookies. Évidemment ça peut poser des petits problèmes puisqu’il faut vous souvenir du mot de passe à chaque login. Mais ce n’est qu’avec cette bonne pratique que vous n’aurez quasiment aucun souci de vol de session.

Exemple
Stockage du cookie sur le poste de travail
Gérer, surveillez vos cookies

Il faut gérer vos paramètres de confidentialités au niveau des navigateurs ; pour cela vous devez consulter régulièrement la CNIL qui met à jour les précautions qu’il faut prendre. À ce sujet, vous devez surveiller les filtres d’informations personnelles à travers le petit outil « CookieViz », il va vous permettre de savoir quels sont les sites avec lesquels vous entretenez des relations ; au-delà d’un certain nombre de sites, il faut absolument que vous vidiez vos cookies pour que vos informations arrêtent de fuiter de partout. Sachez que la récupération d’informations personnelles peut aussi donner lieu à des corrélations qui pourraient être faites avec des outils d’anonymisation, et qui permettraient de vous réidentifier pour des pirates, ou pour des assureurs qui voudraient avoir des renseignements sur vous, ou tout simplement des personnes malveillantes qui voudraient nuire à votre réputation.

Production de cookie wetransfer suite à une navigation sur le site wetransfer : vos informations personnelles s'envolent !
Production de cookie WeTransfer suite à une navigation sur le site WeTransfer : vos informations personnelles s'envolent !
Ne cliquez jamais sur une URL inconnue, vérifiez-la !

Avec une URL, il peut y avoir des attaques non souhaitées, par exemple, le but de l'attaquant est que Cerise Dubois clique sur la flèche pour activer son compte.

Cliquer directement sur l'URL est dangereux, cela permet de lancer l'exécution d'une commande non désirée, pouvant bloquer votre PC ou télécharger des malwares. Avant de cliquer, renseignez vous sur qui vous écrit !!!

Exemple
Un mail piégé à gauche peut entraîner l'accès à un serveur web piégé

Concernant les e-mails : il ne faut pas avoir des interactions avec des mails inconnus, ne cliquez pas sur des sites, des URL inconnus. Suivez nos conseils en testant vos URL sur un site de confiance comme virustotal par exemple :

Procédez ainsi :

Virustotal
Exemple de logiciel pour contrôler la qualité des URL : Virustotal
Anonymisez vos données

Vous avez aussi une dernière bonne pratique dont on a commencé à parler tout à l’heure, qui est l’anonymisation des données personnelles en lien avec l’identification. Sur cet annuaire, il va falloir que vous cassiez certains liens avec l’identité, de telle sorte que si un attaquant vient sur cet annuaire, il ne soit pas en mesure de reconstituer de nouvelles informations qui pourraient être de niveau beaucoup plus grave.

Le terme d’anonymisation est réservé aux opérations irréversibles, le terme de pseudonymisation pour les opérations réversibles :

- anonymiser : supprimer tout caractère réidentifiant à un ensemble de données ;

- pseudonymiser : technique qui consiste à remplacer un identifiant par un pseudonyme.

D’ailleurs, à ce sujet, vous devez avoir un correspondant informatique déclaré auprès de la CNIL puisque vous êtes un responsable des traitements au sens de la CNIL, et ces gestions des identités doivent être également être déclarées surtout avec la nouvelle loi sur la gestion des données personnelles. Vous allez donc devoir mettre en place ceci. Pour pouvoir faire cela, l’architecture en place la plus conseillée c’est de mettre en place un annuaire et de le sécuriser, parce que ce dernier va contenir toutes les informations personnelles de vos utilisateurs.

Conclusion

Nous avons fait le tour sur les bonnes pratiques ; n’oubliez pas non plus les facteurs de complexité, et en tant qu’entreprise, une bonne pratique qui est souvent utilisée, c’est la gestion des identités. Vous devez absolument, pour des raisons qu’on avait vues déjà pour la bonne pratique 1 et la bonne pratique 3, gérer les identités, connaître vos utilisateurs, lister des informations personnelles que vous allez leur demander.

Voilà, vous voyez l’enjeu sur les identités, nous avons été beaucoup plus étoffés que sur les autres sujets, parce que c’est à la hauteur des risques informatiques que vous encourez lorsque vous êtes responsable de l’entreprise et que nous encourons lorsque nous sommes responsables de nos petits objets connectés, ainsi que des ordinateurs, personnel comme professionnel !

Soyez également prudent avec vos smartphones et tablettes

Ce cours a été réalisé en collaboration avec le Cnam

Cette partie vise la mise en  place d'une politique et d'une procédure pour responsabiliser les collaborateurs et les encourager à appliquer les mesures de base. Pour obtenir votre adéquation, pour que vous appliquiez ces mesures, encore faut-il vous expliquer les modes de fonctionnement.

Tout d'abord, il faut considérer la protection de votre mobile comme celle de votre ordinateur, avec en plus, le fait qu'il soit petit : il peut se perdre ou être volé, tomber d'une poche ou d'un cartable ; mais aussi qu'il soit tout le temps avec vous.... et... aussi avec Internet....

Il faudra donc prendre des mesures liées à ses particularités physiques de "petit objet" : perte, vol, accès non autorisés, mais également liées à sa particularité de "petit objet connecté" : forte connectivité, accès via le WiFi , le Bluetooth, Internet ou la 3G/4G et bientôt 5 G.

Mais les objets connectés représentent un enjeu majeur par les services qu'ils offrent.

Saisissez l'enjeu des objets connectés

Un marché énorme en pleine effervescence qui est difficile à évaluer, les chiffres sont flous, mais on parle de plusieurs objets connectés par être humain (plus de 25 milliards) d'ici 2025. Cliquez ici pour consulter un graphique montrant la répartition actuelle du marche des objets connectés.

Ils vous intéressent ? Vous les intéressez !

Ils vous font progresser "en situation" : à tout instant, vous accédez à la traduction de texte, aux meilleurs prix, aux horaires, trafic, météo, itinéraire, santé... Demain, vous accéderez à bien plus de services, de bien meilleure qualité, vous bénéficiez de bien plus, vous êtes connectés et possédez toute la force de vos communautés grâce aux "applis & services".

Situations d'usage des objets connectés, de l'objet connecté capable d'observer et de modifier son environnement au collectif qui contribue à l'amélioration de ces usages en passant par l'opérateur de service qui collecte, traite et optimise nos donn
Situations d'usage des objets connectés : à gauche, l'utilisateur augmenté par son objet connecté (l'OC observe et guide l'utilisateur lors de son déplacement), à droite, le collectif (chaque  utilisateur de cette classe d'objet connecté contribue

Objet connecté (orange) : il embarque des composants applicatifs et réseau pour "capter" vos données de vie en contexte : par exemple votre vitesse de marche à 14:00 après une pause repas de 1 heure...

Individu (gauche) : votre objet connecté guide vos actions : choix d'un itinéraire en fonction de l'heure, de la météo, vous ajustez vos décisions, tout cela grâce à toute la connaissance que vous recevez de votre communauté (les flèches vertes : des conseils vous reviennent de vos communautés pour vous guider dans vos décisions). Mais en même temps, vous contribuez à la richesse et l'intelligence collective, vous envoyez les informations sur vos habitudes, que le système central "Applis et Service" collecte (les flèches rouges ).

Collectif : la contribution de chacun permet de centraliser les données dans de gros data centers.  Les bases de données du collectif peuvent être détenues par des collectifs à but lucratif (Google), ou non lucratif (Wikipedia).

En somme, on voit que l'objet connecté n'est que l'extrémité du système plus lourd d'intelligence collective.

L'intelligence collective est connectée

Sous cet angle, les usages sont multiples, vous avez déjà sûrement entendu parler de la ville connectée (smartcity), de la maison connectée (smarthome), de la santé connectée.

3 usages de la chaîne d'intelligence collective

Nous allons voir 3 grands usages.

Santé

Le premier usage est la santé, où l’on voit qu’on peut faire de la téléconsultation, téléexpertise, télésurveillance… On peut de cette manière avoir des solutions extrêmement intéressantes dans le domaine de la santé.

On pourra ausculter par exemple un patient à distance, les mesures de sécurité permettront d'être sûr que ce patient est bien celui qu'il dit être, que les informations qu’il nous transmet sont bien les bonnes, c'est-à-dire que les capteurs qui vont prendre la température doivent être fiables et s'insérer dans une boucle de sécurité extrêmement fiable entre l'opérateur de l’hôpital et le patient.

Le collectif est gagnant, ces technologies novatrices constituent des pistes de solutions aux problèmes d'engorgement des hôpitaux, de cadre de vie plus agréable pour les patients ; de plus, l'expérience collective s'accroît sur la survenance de symptômes ou les soins à apporter, les cas des patients vont enrichir la connaissance collective.

L'individu est gagnant, ces technologies, si elles sont sécurisées, permettent aux patients de retrouver un service de qualité chez eux ou à proximité.

Smart city

Un 2e usage très prometteur est la « smart city » : c’est la capacité de pouvoir offrir des services par anticipation aux usagers ; à travers la ville on pourra par exemple vous permettre de payer des services de surveillance à domicile, d’avoir des flux vidéo, d’écouter de la radio mais aussi d’avoir des services d’urgence médicale.

Le collectif est gagnant, les besoins des citoyens sont mieux traités, des services étendus et ajustés sont proposés :  au bon moment, au bon endroit, au bon prix, la distribution de ces services est équitable : les citoyens dans le besoin seront servis prioritairement, le collectif optimise ses interventions dans la ville en offrant des services de sécurité adaptés.

L'individu bénéficie des services ajustés, à la hauteur de ses nécessités, pas de gâchis, pas de choses inutiles, il envoie ses données personnelles qui sont traitées par le collectif pour prendre en compte ses besoins.

Smarthome

Un 3e usage est la domotique : vous pouvez d'ores et déjà surveiller votre maison à distance, optimiser la consommation d’énergie, ouvrir votre portail à distance, ce qui peut éviter des bouchons dans les rues très fréquentées, et également vous relier à des services de météo pour voir des cas d’inondation, des services d’incendie, vous relier à votre congélateur pour être sûr qu’il n’y ait pas de panne d’électricité, et de connaître l’heure exacte à laquelle le congélateur a été éteint. Tous ces aspects sont extrêmement séduisants pour l’avenir et encouragent bien entendu les usagers à s’abonner.

Menaces, attaques et vulnérabilités sur les objets connectés

Aujourd’hui, les perspectives sont énormes, mais la maturité des objets connectés laisse encore à désirer ; si bien que les surfaces d’attaque qu'ils offrent engagent des dangers et la responsabilité de chacun, celle des opérateurs également, qui vous offrent un service. De même, l’entreprise pour laquelle vous travaillez ,dans la mesure où vous utilisez vos objets connectés en même temps que des usages de l’entreprise, peut avoir certaines exigences vis-à-vis de vos usages ; nous avons évoqué ce sujet avec le BYOD (BP11).

Menace

Par rapport à cela, on est en droit de se demander ce qui est ici exposé dans un objet connecté.

Tout d’abord, on s’est rendu compte que :

  • 70 % des objets connectés ne chiffraient pas les échanges de données avec leurs hôtes ;

  • 80 % des objets connectés ne nécessitaient pas de mot de passe suffisamment complexe pour y accéder – donc des attaques par force brute étaient possibles ;

  • 60 % ne disposaient pas d’interface de management (permettant de changer des configurations à distance) sécurisée, ce qui peut permettre à un attaquant connaissant la marque de votre objet connecté de pouvoir accéder à des configurations, en vous empêchant de garder la main sur votre objet connecté.

Ça peut être :

  • vos identifiants stockés en local ;

  • vos données personnelles (adresse, fichiers de contact…) ;

  • des données liées à vos usages et vos habitudes, qui permettent de dresser votre profil – par exemple de savoir quels sont les sites sur lesquels vous demandez des comparatifs de prix ;

  • des données de santé (votre dossier médical informatisé).

Ainsi, les objets connectés offrent des surfaces d’attaque de plus en plus vastes, que les cybercriminels ne manquent pas d'exploiter. Ce qu’il faut savoir, c’est qu'il existe des cartes sur Internet qui fournissent les adresses IP de vos objets connectés ; et tout cela constitue un point d’entrée pour pouvoir accéder aux systèmes d’information de l’entreprise. Par exemple, vous pouvez cliquer ici pour consulter la carte du nombre d'objets connectés fourni par le moteur Shodan - Source : site de Shodan).

Il faut être très prudent, et les bonnes pratiques sont plus que jamais extrêmement importantes, il est recommandé de les appliquer.

Les vulnérabilités les plus importantes sont la fuite de données et d’informations qui concerneraient des sites sur lesquels vous auriez permis l’accès par rebond ; vous avez donc une grande responsabilité en termes de vulnérabilité.

Donc avec toutes ces vulnérabilités, il ne s’agit pas de prendre peur, mais au contraire d’avoir une approche extrêmement importante dans le respect des 12 bonnes pratiques composées par l’ANSII et plus que jamais applicables sur des objets connectés.

Les bonnes pratiques des objets connectés

L'entreprise doit gérer les équipements mobiles et connectés, elle doit mettre en place des architectures et mesures avancées pour la gestion de ces objets mobiles, mais il faudra également gérer :

  • les habilitations préalables des objets ;

  • et, sur les actifs,la traçabilité.

Il faudra en plus mettre en place ces 12 bonnes pratiques de la sécurité, pour l'entreprise mais également pour ses utilisateurs ; le plus simple sera de mettre en place une charte d'usage :

1.    Choisir son mot de passe de façon suffisamment robuste.

2.    Mettre à jour régulièrement vos logiciels.

Nous vous proposons de mettre à jour régulièrement les logiciels, mais également de les télécharger sur les sites officiels, car on n’est jamais à l’abri d’être amené sur un site pirate. C’est plus important de faire cela pour vos objets connectés que pour votre ordinateur. Ainsi, vous pouvez avoir des applications multimédia qui ont des vulnérabilités logicielles parce qu’elles ont été mal développées, dont les bugs seront exploités par les attaquants ; si bien que c’était le cas de la voiture connectée : une Jeep, qui finalement s’est retrouvée entre les mains d’un pirate, et le conducteur avait perdu le contrôle de son véhicule.

3.    Bien connaître ses utilisateurs et ses prestataires.

Avec vos objets connectés, vous avez des ressources contraintes en matière de stockage et d’exécution ; donc il vous semble normal de faire appel à des exécutions à distance, sur des clouds ou, par ailleurs, sur des applications collaboratives. Or, c’est extrêmement dangereux parce que vous ne savez si votre cloud est lui-même sécurisé, à part les clouds officiels sur lesquels vous pouvez avoir plus de confiance. Pour les entreprises il faut bien connaître les utilisateurs des données que vous mettez à disposition au sein de votre entreprise. De votre côté, vous devez avoir des bonnes pratiques pour abonner les objets connectés et les autoriser à naviguer dans l’entreprise, désabonner ceux qui ne sont plus utilisés.

4.    Effectuer des sauvegardes régulières.

Bien sûr que votre stockage de données est le cloud, mais il faut bien choisir l’opérateur avec lequel vous travaillez, et c’est la même chose que pour les applications.

5.    Sécuriser l’accès WiFi (le WiFi est une des interfaces de communication des objets connectés)

Nous vous proposons dès maintenant de faire attention aux réseaux WiFi, il  faut absolument identifier le WiFi que vous utilisez, car une majorité des attaques des objets connectés viennent  du WiFi (c’est le plus facile). Il suffit simplement de vous faire croire que vous vous connectez à un portail captif WiFi sécurisé alors qu’il est piraté et vous allez donner tous vos identifiants ; l’attaque est très simple et prend 15 minutes. Donc, un objet connecté est beaucoup plus exposé aux attaques WiFi que les autres composants du système d’informations.

6.    Être prudent avec son ordi phone, on est au cœur même de l’usage de votre objet connecté qui doit être aussi précautionneux qu’avec votre ordinateur personnel et professionnel.

7.    Il faut protéger ses données lors des déplacements.

Le simple fait d’appliquer les 12 bonnes pratiques sur votre objet connecté le rend robuste, et c’est l’ensemble des bonnes pratiques que vous allez mettre en place qui vont rendre votre chaîne de liaisons et votre opérateur robustes.

Le fait de cliquer sur des URL douteux permet d’offrir aux attaquants, soit par le biais de la messagerie? soit par le navigateur, des opportunités de « ransomware ».

8.    Être prudent avec l’utilisation de la messagerie;

Les messageries sont parfois difficile à sécuriser, vous risquez de vous faire "hameçonner" par des mails malicieux ou de charger des codes malveillants. En quoi cela consiste ?

9.    Télécharger des programmes sur leurs sites officiels.

Cette bonne pratique se couple avec la 10 (être vigilant lors d’un paiement sur Internet), la 11 (séparer les usages personnels des usages professionnels), et la 12 (prendre soin de ses informations personnelles, professionnelles et de son identité numérique), car c'est ensemble que ces précautions d'usage vont vous permettre d’éviter les attaques de type « ransomware ».

10. Être vigilant lors d’un paiement sur Internet.

Souvent, le même objet connecté va engager un paiement avec par exemple 3D Secure, et vous allez recevoir le SMS sur ce même objet connecté ; si quelqu’un est à côté de vous, il sait que vous avez fait le paiement et va guetter le SMS pour connaître le code sécurisé.

11. Séparer les usages personnels des usages professionnels.

Séparer votre messagerie professionnelle de votre messagerie personnelle : de nombreux responsables envoient encore des courriels depuis une boîte personnelle ; cette dernière est bien moins sécurisée que celle de votre entreprise, et vous risquez de vous faire "hameçonner" par des mails malicieux, ou de charger des codes malveillants.

12. Prendre soin de ses informations personnelles, professionnelles et de son identité́ numérique.

Enfin, une attaque de la vie privée et particulièrement redoutable au niveau des objets connectés, sur 1 200 applications mobiles éditées, il y a une carence manifeste des informations faites aux usagers sur le devenir de leurs données personnelles.

Ces 12 bonnes pratiques sont extrêmement précieuses pour pouvoir utiliser les objets connectés dans les bonnes conditions.

La sécurité des objets connectés est une préoccupation, c’est un point d’entrée qui pourrait exposer de nombreuses entreprises comme des particuliers, ou des entreprises par le biais des particuliers. Il faut qu’on ait une approche plus pratique sur les objets connectés, à la fois du côté des usages, de la mise en place des infrastructures (mettre en place des modèles économiques moins ambitieux mais mieux sécurisés), et des développeurs d’applications et d’objets connectés.

En conclusion, comment se protéger contre les attaques informatiques sur nos objets connectés ?
La 1re action est d’appliquer les 12 bonnes pratiques de l’ANSII ; elles protègent à la fois vous et votre entreprise, mais aussi les collectifs.

Un autre point crucial : quand vous développez et démocratisez une application pour objets connectés, finalement on se rend compte qu'il n'est pas si simple de les sécuriser ; dans les faits, elles sont peu sécurisées, pendant leur développement, elles sont ce qu'on appelle en phase de  "test"ou de PoC (preuve de concept).  Ainsi, ce qu’on appelle la sécurité par conception "by design" est encore un vaste sujet que l'on tente d'améliorer au quotidien par des bonnes pratiques du développement.

Vous êtes arrivé à la fin de ce cours ! Vous devez maintenant être capable de :

  • identifier les enjeux de sécurité liés aux usages des objets connectés ;

  • expliquer les principes de sécurité informatique s'appliquant aux outils de production ;

  • expliquer les principes de sécurité informatique s'appliquant aux réseaux ;

  • expliquer les principes de sécurité informatique liés à l'usage d'objets connectés.

N'oubliez pas de réaliser les exercices en fin de partie, ils vous permettront de valider ces compétences. Je vous remercie de votre attention et vous souhaite une bonne continuation dans tous vos projets !

Exemple de certificat de réussite
Exemple de certificat de réussite