Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI...
-
Upload
dion-larue -
Category
Documents
-
view
106 -
download
0
Transcript of Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI...
Approches pour l’élaboration de documents PSSI
Niveaux de maturitéExtraits de méthode du DCSSI utilisée pour établir les tableaux de bord
de la SSI
• Evaluer le niveau de maturité SSI adéquat que devrait avoir votre SI,
• Idem pour le niveau effectifs (le réel)• La différence indique
– le chemin à parcourir le plan d’action nécessaire• De plus les deux évaluations servent à remplir les tableaux de bord
d’année en année.
Principes
Niveau de menace
Niveau de vulnérabilités du système d'information
0 1 2 3
Niveau d'attractivité
0 0 0 1 2
1 0 1 2 2
2 1 2 2 3
3 2 2 3 3
Le niveau de vulnérabilité est déterminé par les questions de 7 à 9
Le niveau d’attractivité par les questions de 5 à 6
Détermination du niveau de menace
Niveau de maturité SSI adéquat
Niveau de menaces
0 1 2 3
Niveau d'adhérence
0 0 1 2 3
1 1 2 3 4
2 2 3 4 5
3 3 4 5 5
4 question pour déterminer le niveau d’adhérenceNiveau = valeur maximale des réponses.
5 questions pour le niveau de menaces (questions 5 à 9)
0 1 2 3 4 5
Niveau de maturité SSI
Politique de sécuritéOrganisation de la sécurité
Gestion des risques SSISécurité et cycle de vie
Assurance et certificationAspects humains
Planification de la continuité des activitésGestion des incidents
Sensibilisation et formationExploitation
Aspects physiques et environnementIdentification / authentification
Contrôle d'accès logiqueJournalisation
Infrastructures de gestion de clés cryptographiquesSignaux compromettants
Du niveau de maturité SSI effectif au niveau adéquat
Niveau de maturité SSI effectif Effort à fournirNiveau de maturité
SSI adéquat
0 1 2 3 4 5
Niveau de maturité SSI
Politique de sécuritéOrganisation de la sécurité
Gestion des risques SSISécurité et cycle de vie
Assurance et certificationAspects humains
Planification de la continuité des activitésGestion des incidents
Sensibilisation et formationExploitation
Aspects physiques et environnementIdentification / authentification
Contrôle d'accès logiqueJournalisation
Infrastructures de gestion de clés cryptographiquesSignaux compromettants
Du niveau de maturité SSI effectif au niveau adéquat
Niveau de maturité SSI effectif Effort à fournirNiveau de maturité
SSI adéquat
Gestion des risques de SSI(management du risque)
Le risque de SSI est la combinaison d’une menace (cause potentielle d’un incident indésirable)
scénario avec une certaine vraisemblance (un degré d’incertitude)Méthode d’attaque (action ou évènement accidentel, délibéré)
Éléments menaçants (naturels, humains) susceptible de l’utliser
Vulnérabilité des entités (matériels, logiciels, organisations, personnes, …)
(faiblesse d’un bien, groupe de biens)
et des pertes qu’elle peut engendrerestimées en termes d’atteinte des besoins de sécurité des éléments essentiels
et des impacts induits sur l’organisme
Menaces :• sources potentielles de problèmes)
Vulnérabilité : • faiblesse pouvant être « exploitée »• de ce fait la menace devient plus concrète
On doit faire le nécessaire afin debien les connaître.Mais on ne peut pas grand-chose la plupart du temps.
SSI = supprimer les vulnérabilités ou en empêcher leur exploitation éventuelle (diminuer les probabilités) sinon se préparer aux conséquences (réaction en cas d’incident)
Diminution du risque, et si trop coûteux parrapport aux dommages éventuels Accepter le risque résiduel, et être prêt à y faire face.
Communication relativeau risque
L’appréciation du risque (procéder régulièrement à l’appréciation du risque)
TraitementRefus du risqueOptimisation du risqueTransfert du risquePrise de risque
Acceptationhomologation
AppréciationAnalyse du risqueÉvaluation du risque
Décrire le contexteOrganismeSystèmes d’Information (SI)Éléments essentiels à protéger (+) (informations, fonctions, …)Entités sur lesquels ils reposentLes enjeux liés à la SSILes contraintes à prendre en compte
Exprimer les besoins de sécurité (*) pour (+)Disponibilité, Intégrité, Confidentialité
Identifier les menaces et les caractériseren terme d’opportunité (degré d’incertitude)
Confronter les menaces aux besoins deSécurité (*) pour déterminer les riques.
Communication relativeau risque
Traitement du risque
TraitementRefus du risqueOptimisation du risqueTransfert du risquePrise de risque
Acceptationhomologation
AppréciationAnalyse du risqueÉvaluation du risque
Sélection et mise en œuvre des mesures visant un refus, une optimisation, un transfert ou une prise de risque
1) Identifier les objectifs de sécuritédéterminer le mode de traitement(refus, …)On tient compte du contexteOn ne parle pas encore de solutions
2) Déterminer les exigences de sécuritéPour satisfaire les objectifs ci-dessusDécrire la manière de traiter le risque
Dissuasion, protection, détection,Récupération, restauration, Compensation, …
3) Spécification et mise en œuvre des mesures de sécurité visant à modifier le risque.
A ce stade les risques ont été soitréduits soit transférés (à des tiers)soit subsistent (le résiduel).
Communication relativeau risque
Acceptation du risqueCas particuler du « risque résiduel »
TraitementRefus du risqueOptimisation du risqueTransfert du risquePrise de risque
Acceptationhomologation
AppréciationAnalyse du risqueÉvaluation du risque
Décision d’accepter les risques traités.
Une homologation de sécurité prononcéepar une autorité présidant une commission d’homologation.
Un dossier de sécurité en « soutien » contenant : études des risques, objectifs de sécurité, exigences de sécurité et la politiquede sécurité.
Démarches possibles pour une PSSI
1. Une basée sur l’utilisation des meilleures pratiques• Guides de configuration, checklists, recommandations, …
2. Une basée sur l’analyse des risques, sans méthode particulière• Travail basé sur l’expérience des acteurs.
3. Une basée sur la gestion structurée des risques • Une démarche méthodologique style EBIOS http://www.ssi.gouv.fr/fr/confiance/methodes.html
Attention le coût n’est pas le même!Il faut choisir une méthode adaptée à votre contexte et
au niveau de maturité de la SSI dans votre entité.(existant ou souhaité)
EBIOSExpression de Besoins et Identification des
Objectifs de Sécurité
http://www.ssi.gouv.fr/fr/confiance/[email protected]@sgdn.pm.gouv.fr
EBIOS va permettre de bâtir ou finaliser des documents :Schémas Directeur SSI, PSSI, plans d’actions, documents stratégiques, …
EBIOS est une méthode de gestion du risqueDiffusée gratuitement par la DCSSI
EBIOS
• EBIOS = 5 grandes étapes :– Étude du contexte auquel doit s’appliquer l’étude– Expression des besoins de sécurité,
• analyse de la sensibilité des données (D,I,C) niveau de protection requis
– Étude des menaces, des vulnérabilités• des risques d’occurrence de l’exploitation de ces vulnérabilités,
– Identification des objectifs de sécurité, • Refus du risque, optimisation, transfert ou prise de risque?• Enjeux stratégique de l’entité objectifs de sécurité,
– Détermination des exigences de sécurité. • vers le plan d’action : principes, règles, outils, organisation, …• Dissuasion, protection, détection, récupération, restauration,
compensation,…
EBIOS
• EBIOS: très formel, très précis, mais lourd.
• L’appliquer à certaines parties du SI seulement ou appliquer seulement certaines étapes :
• Ex: – Une partie analyse de la sensibilité des données du
niveau actuel de leur sécurité, du niveau cible, …– Une évaluation des menaces « réalistes »,– Etc.
EBIOS : étape « expression des besoins de sécurité »
• L’analyse de la sensibilité des données est le volet important de cette étape,
• Cette analyse s’appuie sur des critères:– attributs qui vont servir de base à l’évaluation
du niveau de sécurité réel (actuel) et à déterminer celui souhaité.
– Ils représentent les qualités que l’on attend du fonctionnement du SI.
Disponibilité (fiabilité)• garantie d’accès quand on le demande (si « autorisé »)
• comportements réguliers, continus, prédictibles,
• assurer une qualité de service (perçue de l’utilisateur)– performance garantie, (temps de réponses, bande passante, …).
• Redondance de serveurs, d’infrastructures réseau, …• contrats de maintenance solides,• présence continue d’équipes,• énergie secourue,• sauvegardes régulières, stratégie de reprise en cas d’incident,• logiciels validés, …
Pour élever le niveau de disponibilité
Intégrité • Propriété d’exactitude et de complétude des informations et
des fonctions.– Absence de résultats incorrects ou incomplets (pour une fonction)
– pas d’altération des informations par des personnes non autorisées,
– conservation des données sans dégradation dans le temps,
– échange de données via le réseau sans altération,
Pour élever le niveau d’intégrité
• garantir la robustesse des contrôles d’accès et de l’authentification• veiller à la qualité des sauvegardes et des archivages• chiffrer les flux réseaux, • utilisation de logiciels « validés ».
Confidentialité (principalement des informations)
• Propriété de n’être accessible qu’aux personnes autorisées
• Les données ne doivent pas être lues par des personnes ou des processus non autorisés.
• authentification forte,
• protection des fichiers (discrétionnaire),
• chiffrement éventuel des fichiers (sur portable notamment).
• protection des flux réseau (chiffrement)
• que seules les personnes habilitées manipulent les supports de sauvegarde.
Pour élever le niveau de confidentialité
Attributs complémentaires (non EBIOS)
– Comptabilité, traçabilité, … • Capacité à retrouver l’identité et la liste des actions d’un
fauteur de troubleidentification et authentification sérieuses des intervenants,
Historique, journalisation des actions.
– Non répudiation• Capacité à apporter les preuves de l’origine et du contenu
d’une action un traitement « signé »,signature de documents (stockés ou échangés) éventuellement existence de « tiers de confiance »
Échelle de besoins
0Perte de confidentialité
Sans conséquence
Délai supérieur à 1 semaine
Sans conséquence.
Services non indispensables
Perte d’intégrité sans conséquence pour l’entité.
Vérification avant redémarrage
simplement
1Conséquences défavorables
Aux intérêts de l’entité.
Cause de gêne.
Mais alternative existe.
Dégradation du service
Conséquences défavorables aux intérêts. Diminution des capacités.
Image de marque.
2Conséquences dommageables.
Ex: contrats remis en cause
Délai > 2h et <=8h
Conséquence dommageable
Mais non vitale
Conséquences dommageables pour les intérêts de l’entité.
Sanctions administratives,
Pertes financières
3Conséquences graves
Ex: secrets défense.
Délais entre 0 et <= 2h
mise en péril de:– vies humaines–Existence société
Conséquences gravesRévocation de dirigeants,
Pertes financières
Restructuration, …
confidentialité disponibilité intégrité
Pour chaque domaine « métier »une évaluation des besoins de sécurité
G.F.C 2 2 3 3
Communication 0 2 2 2
Contrats 2 2 2 2
GRH
Info. nominative3 1 3 3
Recherche et
Dév. Technolog.3 1 3 3
Pédagogie (contenus)
1 2 2 2
domaine Conf. Dispo Intég.Niveau global
Identification des origines de menaces(méthodes d’attaque à retenir)
EBIOS explicite toute une panoplie de menaces dont il faut retenir que celles pertinentes pour
l’entité menant l’étude.
• Sinistres physiques– Incendie, dégâts des eaux, – pollution, sinistre majeur,– Destruction de supports ou de matériels
• phénomènes naturels– Phénomène climatique, – ‘’ sismique, – ‘’ volcanique, – ‘’ météorologique, – Crue
• Pertes de services essentiels– Défaillance climatisation, – Perte d’alimentation énergétique– Perte de moyens de télécommunication
• Perturbation due aux rayonnements– Rayonnements électromagnétiques– Rayonnements thermiques– Impulsions électromagnétiques
• Compromission des informations– Interceptions de signaux parasites compromettants– Espionnage à distance – écoute passive (Récupération d’information d’authentification par ex.)
– Vols: supports, matériels, documents, – Récupération d’éléments recyclés ou mis au rebus– Divulgation
• Inconsciemment (dans le TGV), en séminaire, …• Volontairement (intérêts particuliers)
– Information sans garantie d’origine• Installation de logiciel sans preuve de l’exacte origine et du sérieux• Canulars, phishing, …
– Piègeage du logiciel ou du matériel– Géolocalisation
• Actions illicites – Utilisation illicite de matériel (site « warez », …)
– Copie frauduleuse de logiciels
– Utilisation de logiciels contrefaits ou copiés
– Altération de données (action de piratage, via vers, virus, …)• Usurpation de droits (pirates, concurrents, …)
– Traitement illicite de données
• Défaillances techniques– Panne, dysfonctionnement matériel
• Saturation des systèmes informatiques
• Maintenance négligée
– Dysfonctionnement logiciel– Atteinte à la maintenabilité du SI (absence documentation, …)
• Actions illicites– Utilisation illicite de matériels
– Copie frauduleuse de logiciels
– Utilisation de logiciels contrefaits ou copiés
– Altération de données
– Traitement illicite de données
• Compromission des fonctions (facteurs humains) – Erreur d’utilisation (sauvegarde, configurations, …)
– Abus de droit (modification sans avertir, …)
– Usurpation de droits
– Reniement d’actions
– Atteinte à la disponibilité du personnel (personnels indispensables)
– …
Quelles sont les vulnérabilités qui peuventfaire que ces menaces puissent être mises
à exécution?
Ebios classe les vulnérabilités par domaines•Matériels•Logiciels•Réseau•Personnel•Physique (Site)•Organisation •Système
Voir page 34 de la section 4 du guide EBIOS
Matériels– Absence de responsabilité– Pas de politique:
• d’achat, de maintenance, de remplacement, …• d’installation, de configuration, d’administration, …• de contrôle d’accès et de protection des fichiers (données)• de gestion des authentifications et des mots de passe particulièrement • de gestion des autorisations (privilèges octroyés trop importants)• de protection des informations sensibles (accès, chiffrement, …)
– Matériels dont les spécificités ne sont pas pris en compte• Absence de règles concernant les matériels ‘trans’portables
– Condition liées au placement physique non pris en compte• Phénomènes naturels non pris en compte• accès physiques non contrôlés (salles machines, bureaux, …)
– absence de sauvegardes, archivage et de protection des supports– Pas de prise en compte des conditions d’utilisation– pas de protection contre l’écoute TEMPEST
Logiciels– Absence de politique concernant:
• la gestion des mots de passe, le contrôle des accès, la gestion des privilèges• le contrôle de la protection des données, notamment leur intégrité
– Lacunes concernant la qualité et l’intégrité des logiciels :• ajout de logiciels d’écoute, cheval de Troie, fonction cachée en phase de développement• récupération de logiciels depuis source non authentifiée• Logiciels non évalués, développés uniquement en interne,
– Conditions d’utilisation du logiciel • Conditions aux limites non prise en compte (matériel inadéquat, …)• Pas de conservation des traces de traitement, pas de remontées des traces de dysfonctionnement,• pas de procédure de maintenance,• Documentation inexistante ou pas à jour,
– Côté utilisateur• Absence de formation à l’utilisation du logiciel, utilisation complexe non intuitive,• Insuffisance de compétence,
– Par rapport au système• Administration à distance avec des outils non chiffrés• Absence de mise en œuvre des règles élémentaires de sécurité de base• Système « grand public » aux bugs connues et déjà exploitées• Possibilité d’utilisation du système par des personnes non autorisées• Plusieurs systèmes amorçables (Windows, Linux)• Système pouvant être soumis à des requêtes mal formatées (buffer overflow),
réseau– Protection physique, qualité équipements
• Conditions (humidité, température, rayonnements, …) pas pris en compte,• Sensibilité aux chutes de tension, micro-coupure, • Mauvais dimensionnement, matériels obsolètes, …
– Réseau « ouvert » :• possibilité de pose d’éléments « pirates » (ex: keylogger physique), dérivation de circuit,• Support et équipements accessibles à des personnes non autorisées,• Présence de points d’écoute illicites• Émission de rayonnements parasites compromettants• Écoute passive possible sur médium le permettant (Ethernet non commuté, WiFi, …)• Absence de cloisonnement réseau (filtrage, journalisation)• Possibilité d’altérer une communication• Absence de contrôle d’accès robuste, présence de protocoles sans fonction d’authentification.• Les relais n’identifient ni les sources ni les destinations (spoofing possible)
– Défaut de supervision, maintenance, …• Absence de maintenance locale ou à distance• Absence de politique de traces, d’audit, de métrologie• Pas de politique visant à détecter les comportements suspects (détection d’intrusion, …)
Personnel– Défaut en grande partie du à la direction concernant :
• Une organisation inadaptée, chaîne de responsabilité non identifiable,• Méconnaissance de la PSSI, ou absence de soutien à l’application de la PSSI, • La classification des informations, les droits accordés en dehors du besoin légitime• Le trop de responsabilité/charges de certaines personnes• Climat social conflictuel, règles morales et d’éthique absentes, conditions de travail,• Indisponibilité (absentéisme, …)• Absence de procédure de transfert de compétence• Absence de sensibilisation, formation: chartes, règles de protection de l’information, …• Pas de stratégie de réaction en cas de sinistre majeur, pas de plan de reprise/continuité d’activité
– Responsabilité des personnes• Non respect des diverses consignes, des règles en général, du devoir de réserve, de la discrétion, • Absence de vigilance, négligence, manque de professionnalisme • Utilisation de logiciels sans garantie de leur origine, • Pas de mise à jour des logiciels anti-virus, pare-feu, anti-malware, ...• Personne manipulable, crédule : obtention d’avantage contre action malveillante
– Relatif aux infrastructures et services• Choix technologique dépassé ou non pérenne, dimensionnement limite, • Absence de suivi des incidents, • Absence de procédure de gestion des situations d’urgence • Pas de procédure de réaction et d’information en cas de sinistre
Physique: site(s), locaux– Lieux
• Pas de prise en compte des rayonnements, pas de zonage TEMPEST, …• Zone inondable, proximité sources de pollution ou d’activité industrielle ou site à risque• Phénomène extrême météorologique possible• Possibilité de capter les transmissions ou d’observer depuis l’extérieur du site
– Contrôle des accès:• Pas de contrôle des accès au site ou aux locaux, (accès indirects existants), présence
d’ouvertures sur la voie publique• Absence de contrôle des échanges avec l’extérieur, • Pas de journalisation des entrèes/sorties de personnes, …• Pas de contrôle des habilitations, contrôle d’identité, • Pas de protection des accès aux équipements
– Locaux• Vieillissement, non étanchéité, risque d’explosion possible, • Construction sans prise en compte des conditions climatiques, sismique, ..
– Règles non prise en compte pour :• la climatisation, • l’incendie, • l’énergie, • les télécommunications
Organisation– Absence de PSSI (directives, consignes, procédures, règles, …)
• pas d’implication de la direction,
• déficit d’organisation de la chaîne de responsabilité
– Absence d’identification et de contrôle des biens sensibles
– absence de sensibilisation, formation, veille technologique• Pas de chartes, pas de formation minimum aux aspects juridiques, …
• Pas de suivi de l’évolution des menaces et solutions de protection
• Manque d’information sur les aspects légaux et règlementaires,
– pas de stratégie (plan de reprise) en cas d ’incident majeur
– Absence de règles de protection des données et de l’infrastructure
– Pas de politique des gestion des habilitations
• Les systèmes et services (1) :– Echanges vers/depuis d’autres systèmes
• Circulation en « clair » des échanges, ouverture trop grande sur l’extérieur, • Le système permet la divulgation d’information sensible vers l’extérieur,• Absence de dispositif de filtrage, absence de contrôle anti-virus, anti-malware, …• Possibilité de traiter des fonctions asynchrones du système (composants javascript)• Possibilité d’introduire des logiciels hostiles (virus, vers, cheval de Troie, bombe
logique, …)• Absence de contrôle des contenus échangés• Absence de gestion du contrôle des accès (habilitation, audit, supervision, … )
– Partie système• Obsolescence du système, systèmes non standards, • Règles d’installation non suivies, le système permet un usage autre que celui prévu,
extension de fonctions possible• Possibilité de copier facilement des logiciels
– Installation, configuration, administration, supervision• Absence de suivi des procédures d’installation et de maintenance (correctifs, …)• Pas de vérification de l’origine des applicatifs,• Possibilité d’administrer à distance avec des outils non chiffrés, • Pas d’outils de supervision• Absence de mise en œuvre des règles de base applicables au système d’exploitation• etc.
• Les systèmes et services (2):– Traces, audit
• Absence de politique d’audit, de journalisation des évènements ou accès • Pas de conservation/archivage de l’historique
– Utilisateur/administrateur• Absence de responsabilité identifiée• Insuffisance de compétence• Manque de support/formation• Absence de sensibilisation aux risques induits par le téléchargement de logiciels
– Messagerie• Le système permet le relayage, peut être administré à distance, • Version obsolète des logiciels• Absence de protection anti-virus, anti-spam, • Pas d’authentification des émetteurs ni des destinataires• Le serveur permet l’émission automatique de messages• Absence de limitation de la taille des pièces jointes
– Intranet• Pas de cloisonnement des réseaux de communication, • Absence ou difficulté à gérer les privilèges d’accès aux informations partagées• Le système permet le stockage ou la modification d’information sans authentification• Présence de dispositif permettant de modifier ou installer des applications à distance• Le dispositif permet d’introduire des logiciels hostiles
– Portail externe• Accès public au portail, pas d’identification des requêtes• Pas de conservation de l’historique des activités• Possibilité d’implanter des programmes pirates
Matériel et système (compléments): – Non fermeture systématique de session après un temps d’inactivité,
– Pas de protection contre l’écoute Tempest (pour poste classifiés)
– Poste à la vue de tous (trains, avions, conférences, …)
– Non surveillance des portables ou de supports (Vol)
– Maintenances (télémaintenances) non contrôlées,
– Amorçable par quiconque via disquette, CD-ROM, …
– Absence de sauvegardes
– Pas de politique de contrôle des contenus importés
– Pas de configuration « restrictive » du système:• Cloisonnement vis-à-vis extérieur (pare-feu, …), limitation services actifs
• Trop de logiciels installés sans preuve de besoins réels,
• Comptes « privilégiés » trop largement octroyés
Manque de réactivité pour l’application des correctifs de failles (patch de sécurité)
Des raisons (pas toujours des excuses)
• Manque de moyens (humains surtout)
• Méconnaissance – de la valeur des informations et de la valeur du patrimoine,
– des menaces réelles et des conséquences potentielles.
la sensibilisation pas encore « arrivée »
• Un « laxisme » involontaire à semi volontaire,Ça n’arrive qu’aux autres.
• On ne retient que : « la sécurité ça coûte cher »
• Provenance « interne » ou locale 70% environ– Origine humaine (intentionnelle)
• Ancien personnel : (vengeance, but lucratif, …),
• Stagiaire (espionnage, intérêt personnel, …),
• Télémaintenance, prestataire (intérêt de la concurrence, …)• Personnes en place : esprit ludique, découverte, blocage, …
– Origine accidentelle (non intentionnelle, laxisme)• Erreurs de configuration, de surveillance, • Évènements naturels: incendie, inondation.
• Provenance externe 20 à 30%– 6 « malintentionnés » pour 10 000 (chiffres de 1998)
– Objectifs multiples: • Plaisanter, perturber, abuser, casser l’image de marque, faire chanter, …• Voler, frauder, …• Espionner (économie, militaire,…)• Crime organisé, terrorisme, sabotage, déstabilisation, désinformation, …
Origine des actes de malveillance, des erreurs, des accidents
Exemple d’exploitation de vulnérabilitésde niveau « informatique »
Suivant le but poursuivi par « l’acteur »de ces « attaques » les conséquences pourront
être plus ou moins graves.
Exemples de scénarii (1)
• Ecoute de trames sur le réseau (Ethernet)
– tout PC (poste individuel) peut le faire!– Recherche «séquence login » --> mot de passe– exploitation du compte– rebonds– constitution base de données des mots de passe
pour utilisation ultérieure – PLUS GRAVE si mots de passe « super-utilisateur »
– Noter que les mots de passe « volés » peuvent appartenir à des utilisateurs d ’une autre entreprise, université, etc
===>attaque site distant
• Récupération des fichiers /etc/passwd– Puis essai de craquer les mots de passe cryptés avec dictionnaires,
– Il suffit ensuite de se connecter avec les bonnes infos.
– Une fois sur la machine en tant qu’utilisateur normal• Prendre son temps pour « explorer » le système entier et donc
• Tenter de trouver les « bogues » permettant de passer super-utilisateur.
• Installer ce qu-il faut en « cheval de Troie » pour y revenir tranquillement.
Même si l’on peut caser ceci dans les exemples dupassé, il faut cependant être très vigilant.
Exemples de scénarii (2)
Exemples de scénarii (3)
• Recherche machines avec « bogues »– toute machine sur Internet peut le tenter
• Scan des machines ayant des ports ouverts,
• Repérage du type de système, version, etc,
• Puis détection des services en exploitation
• De leur niveau de patch des « bogues » possibles.
– passage « super-utilisateur »– modification des commandes système ou
installation de commandes cachées (« bombes logiques ») pour revenir plus tard
Exemples de scénarii (4)
• Cheval de Troie– logiciel « domaine public » avec cheval de Troie– piratage d ’un serveur FTP connu (simple défaut de
protection des fichiers suffit)
– dépose de ce logiciel sur ce serveur en échange d ’un logiciel classique
– tout site récupérant ce logiciel est potentiellement en danger
Nécessité de vérifier les empreintes des logiciels.
Exemples de scénarii (5)
• Messagerie– SPAM (mascarade d ’adresse phishing)
– exploitation de « bogues » des produits « sendmail », « PosFix » ou « OutLook », …
• Déni de service– « fausses » connexions à rythme très rapide sur un port
donné (service classique) d ’un serveur
– le serveur ne répond plus pour les vrais utilisateurs
• Plantage à distance– exploitation de « bogues » (noyau du système)
Exemples de scénarii (6)
• Mascarade d ’adresse IP « IP spoofing »• « Pollution » d ’un serveur FTP
– répertoire à accès public
– --> échange de logiciel/produits piratés
– serveur FTP cible de sites « warez »
• « defacing » de sites web– Souvent du aux failles des programmes PHP
– Également aux failles (de moins en moins) de IE-Microsoft
• Etc.
Exemples de scénarii (7)
• Plus propice au monde Windows– Virus– Exploitation des failles des macros Word,Excel, …– Exploitation failles IE – Installation de SPYWARE et de MALWARE