View
215
Download
0
Category
Preview:
Citation preview
Sécurité des systèmes d’information
Jean-Yves MarionUniversité de Nancy
Loria
Jean-Yves.Marion@loria.fr
Un monde incontournable !
• Communication : internet, portables, voix sur IP
• Commerce : en ligne, logistique• Transports : GPS, sécurité, conduite
• Industrie : CAO, gestion, outillage• Science : Modélisation et simulation• Médecine : imagerie, implants, chirurgie
• Environnement : moteurs, vlib
Un monde discret
FFD8FFE000104A46494600010101004800480000FFE11AB845786966000049492A000800000007000F010
Numérisation
Numérisation
• Autrefois : – Association entre l’information et son support.
• Maintenant : – Support indifférencié.
– Toute l’information circule dans des réseaux d’objets.
– L’information transportée est traitée.
Traitement de l’information
Les 4 piliers selon G. Berry1. Le matériel
2. Le logiciel3. L’interface homme-machine4. Les bugs
Voir conférences au Collège de France
Donnée ou programme ?#include <stdio.h>int main (int argc, const char * argv[]) {FILE *fi, *fo;char *cp;int c;if ((cp=argv[1]) && *cp!='\0') {if ((fi=fopen(argv[2],"rb")) != NULL) {if ((fo=fopen(argv[3],"wb")) != NULL) {while ((c=getc(fi)) != EOF){if (!*cp) cp=argv[1];c ^= *(cp++);putc(c,fo);}
fclose(fo);}fclose(fi);}}}
880400017C0207754082FFD8386000014E800020880300007C0007747F80100040BE00104BFFF …
Compilation
Insertion
Informatique ubiquitaire
• Objets communicants
• IPV6 = 2128 (soit environ 3,4 x 1038) identités numériques possibles
Les bugs
• Comportement anormal d’un système :– Système d’exploitation, traitement texte, …
– Voitures, fusées, …
– Distributeurs de billets, réservation, …
• Dus à une défaillance de conception• Inévitables• Coût annuel global : 100 milliards de $/an
(DoC)
Sûreté informatique• Ingénierie du logiciel
– Une discipline difficile– Coût financier, time to market
• Vérification ou de la chasse aux bugs– Test (Osmose du CEA)
– Méthodes partielles • Modèle checking (J. Sifakis)
• Interprétation abstraite (P. Cousot)
– Méthodes totales• Logique (G. Huet)
• Esterell (G. Berry)Verrous scientifiques
Bugs, Failles et Sécurité• Un bug provoque une faille dans le système• Une faille exploitable est comme une porte • Vulnérabilité (e.g. 0-days)
Certification
int main(int argc, char *argv[])
{ char buffer[4];
strcpy(buffer, argv[1]);
return 0;}
int main(int argc, char *argv[])
{ char buffer[4];
strcpy(buffer, argv[1]);
return 0;}
Ø Besoin de certification en sécuritéü Analyse de la sûretéü Recherche de vulnérabilitéü Recherche d’exploitü Reprise après incident
Ø Besoin de certification en sécuritéü Analyse de la sûretéü Recherche de vulnérabilitéü Recherche d’exploitü Reprise après incident
Buffer OverflowBuffer Overflow
Cloud Computing • Utilisation simple
– Facebook– Gmail
• Start-up, PME
• Entreprise– Amazon– Google
– Microsoft
Sécurité & Cloud Computing• Faille de sécurité chez l’hébergeur (i.e. cloud)ü Données sensibles sont traitées à l’extérieureü Sécurité et Confiance
• Attaque par les autres clients de l’hébergeurü Ressources partagées avec des partenaires de confianceü Contrôle d’accèsü Chiffrement
• Disponibilité des données
Sécurité & Cloud Computing
Nouvelles questions
• Où sont stockées les informations ?• Quelle est la juridiction du pays hébergeur ?• Définir des contre-mesures• Relations contractuelles
Droit à l’oubli
• Charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche (13/10/2010)
• Protection de la vie privée
Sécurité des informations
• Définir une Politique de sécurité1. Confidentialité
– Protéger les données sensibles– Menaces : intrusion et vol de données
2. Intégrité– Les données sont préservées, non altérées
– Menaces : usurpation d’identité, fausses infos
3. Disponibilité– Les services et les données sont disponibles– Menaces : dysfonctionnement (Déni de Service)
Solutions invisibles• Cryptographie (J. Stern)• Protocoles (V. Cortier)
– SSL, Kerberos, …
• Contrôle d’accès– Classification des données,– Niveaux de sécurité, Firewalls– Mot de passe, biométrie
• Facteurs humains
Gestion du risque
• Aspects organisationnels • Aspects contractuels
• Aspects normatifs• Aspects légaux
Conséquences• Coût pour l’Europe = 350 milliards (EOS)
• Direct– Coût suite au vol
– Réparation– Interruption activité
• Indirect– Perte d’image et de clients
– Assurance, poursuite judiciaire– Risque boursier
• Difficile à savoir …
Cibles• Sociales
– Tout le monde, Entreprise, Administration, Militaire– Interconnexion des réseaux facilitent la propagation
• Matérielles– Ordinateurs, sites web, imprimantes, …– DVD, Clés usb, ipod, téléphones, pda, RFID …
• Logicielles– Suites Office, emails, pdf, video, …
Historique
• 1970 à 1990: De la genèse aux premières infections
• 1990 à 2000: Sophistication
üMoteur de mutation (Dark Avenger)
üMacro-Virus
• 2000 à 2005: l’âge d’or des vers– Melissa (100 millions de $)
– I Love You (milliards de $)
Historique
• 2005 à 2010: Cybercriminalité et émergence de la Cybersurveillance– Plusieurs vecteurs d’infection
– Sophistiqué et discret
– Contrôlé à distance
– Vers : Ghostnet, Conficker, StuxNet
– Botnets : Storm, Waledac, Mariposa
StuxNet 2010 : a great story !
• 100 000 machines dans 155 pays• Attaque sur des infrastructures
– Micro-code de Siemens, PLC, SCADA
– Cible : les centrales nucléaires ?
• Conception sophistiquée– 5 personnes pendant 6 mois
– Conçu par le gouvernement américain ou israélien ?
Attaques virales• Fishing
• Botnet– Mariposa = 14 millions de PC
• Malware– Un nouveau malware peut être produit toutes les 45
secondes
• Faux point d’accès
• Spam– 107 milliards de spam en 2009, 85% par les botnets
• Chiffres : Economie souterraine = 100 milliards (EOS)
Détection AV
• Signatures syntaxiques
• Expressions régulières• Construction semi manuelle des signatures
Stoned.A Virus
Your PC is now Stoned! …..LEGALISE.MARIJUANA!
Signature LEGALISE
Mutations
Stoned.A VirusYour PC is now Stoned! …..LEGALISE.MARIJUANA!
Signature LEGALISE
Stoned.B VirusYour PC is now Stoned! …..LEGALIZE.MARIJUANA!
MutationMutation
Ø Contourne la détection facilement
Composants d'un antivirus type
Moteurdétection
Unpacker
Analyseprogrammes
Collecteéchantillons
Classificationprécoce
Constructionsignature
Evaluationfaux-positifs
Support
Packagemail,firewall...
Analyse de code binaire
• Désassemblage indécidable– Combinaison analyse statique/dynamique
– Camouflage
• Programmes auto-modifiants– Packers
– Compression
– Bootloader
– Just in Time Compiler
• Représentation abstraite de haut niveau
AV
• Comment tester les AV ?• Autres solutions
– Meilleure protection• Moins de bugs
• Compilation certifiée• Certification sécurité
– Meilleure détection• Analyse comportementale
• Analyse morphologique ?
Détection morphologique
¡ Repose sur la structure des programmes
¡ Avantagesl Plus robuste aux mutations localesl Détecte plus de variantesl Prend en compte la sémantiquel Construction automatisée des signaturesl Fondements scientifiques solides
Insertion dans les AV
Moteurdétection
Unpacker
Analyseprogrammes
Collecteéchantillons
Classificationprécoce
Constructionsignature
Évaluationfaux-positifs
Support
Packagemail,firewall...
Autres applications
• Gestion des configurations– révisions et des versions
• Gestion du risque• Détection de code
– plagiat
IDC 2009
Enjeux géopolitiques• Virus est une arme
– Camouflage, Blindage, Chiffrement, …
• Activités de renseignements– Cyber-criminalité– Espionnage
– Guerre informatique– Cyber-terrrorisme
Cyber-menaces
• Estonie/Russie en 2007• Géorgie/Russie en 2008
• Etats-Unis/Corée du Sud/Corée du Nord en 2009 – Variante du ver Mydoom
• Google/Chine en 2009– Suite à l’interception des emails de dissidents
Conclusion• Sécurité informatique
– Incontournable – Recherche fondamentale
– Nécessité d’une recherche indépendante• Labo de haute sécurité (LHS) civil au Loria (Nancy)
LHS
• Laboratoire de haute Sécurité– Télescope
– Eprouvette
Recherche/Expérimentationet Valorisation
Bibliographie• Anne Bonfante, Jean-Yves Marion, « Les paradoxes de la défense virale : Le
cas bradley ». Misc, volume 28, pp : 4-7, 2006.
• Jacky Akoka, Isabelle Comyn-Wattiau, « Encyclopédie de l’informatique et des systèmes d’information », Paris : Vuibert, à paraître fin novembre 2006.
• Mark Stamp, « Information security : Principles and practice », Wiley, 2005
• Melanie Rieback, Bruno Crispo, Andrew Tanenbaum, « Is your cat infected with a computer virus ? », IEEE Percom, 2006
• Jean-Yves Marion, Matthieu Kaczmarek, A qui profite le cybercrime ? Pour la science, 2010
• http://www.nitrd.gov/pubs/csia/csia_federal_plan.pdf : les rapports américains en ligne
• http://ec.europa.eu/justice_home/fsj/privacy/index_fr.htm : site de la commission européenne sur la protection des données
• Conférence au collège de France sur la sécurité informatique en 2011, M. Abadi
Bibliographie• http://www.journaldunet.com : journal en ligne sur les NTIC
• www.ssi.gouv.fr : site gouvernemental d’information sur la SSI
• www.clusif.asso.fr : site du Club de la Sécurité des Systèmes d’Information Français, dédié à l’analyse de la sinistralité dans le monde informatique
• www.cnil.fr : site de la Commission Nationale de l’Informatique et des Libertés www.foruminternet.org : site du Forum des droits sur Internet.
• La revue MISC pour les hackers : http://www.miscmag.com/fr/
• France Culture, Place de la toile, émission sur le LHS.
Laboratoire de haute sécurité à Nancy : lhs.loria.fr
Un film : http://www.youtube.com/user/InriaChannel#p/u/2/e53iVqdj7uY
Bibliographie• Gérard Berry, Leçon inaugurale au Collège de France, huit cours sur le
monde numérique : http://www.college-de-france.fr/default/EN/all/inn_tec/
• Pierre Lasbordes, « La sécurité des systèmes d’information : un enjeu majeur pour la France » Premier ministre 2006. http://www.ladocumentationfrancaise.fr/rapports-publics/064000048/index.shtml
• Nicolas Curien, Pierre-Alain Muet, « La société de l’information », Rapport du Conseil d'analyse économique (CAE) n°47, Paris : La Documentation française, 2004. http://www.ladocumentationfrancaise.fr/catalogue/9782110055347/
• Philippe Chantepie, Marc Herubel, Franck Tarrier, « Mesures techniques de protection des œuvres & DRMS. 1ère Partie : Un état des lieux », Rapport n°2003-02 — (I), Janvier 2003. www.culture.gouv.fr/culture/cspla/Mptdrms.pdf
• Eric Filiol, Jean-Yves Marion, « La virologie informatique », Pour la science, n° 55, 2007.
Recommended