Management du Risque et de la Sécurité
US : Identification > Authentication > Authorization > Auditing > Accounting
FR : Identification > Authentification > Autorisation/Habilitation > Traçabilité > Imputabilité
L’imputabilité (qui a réalisé une action donnée) est différent de la non répudiation (un sujet ne peut pas nier avoir réalisé une action).
Droit : S’applique sur Sujet, Action, Objet.
Gouvernance
- Alignée avec la stratégie de l’entreprise
- Le Top Management définit périmètre, budget, objectifs, priorités, met en place la gouvernance, et est responsable de la sécurité en dernier ressort
- Le management de la SSI s’assure que les principes sont suivis et que les risques sont gérés et acceptables
- La SSI doit être pensée dès le stade initial de conception
- La SSI est de la responsabilité de tous
- Le RSSI est responsable de la protection de l’information
Due Care
Les choix doivent être faits raisonnablement afin de conduire à un niveau de sécurité correct (politique).
Due Diligence
La mise en œuvre de la SSI doit être effective et efficace (actions).
ISO 31000:2009
Norme référentielle de management de la SSI.
Définitions de documents
- Politique : orientation stratégique. Doit être valide 2-3 ans, mais revue tous les ans ou en cas de réorganisation importante
- Norme/Standard : Règles obligatoires à suivre
- Base de référence/Baseline : Règles minimales à suivre
- Procédures : Documentation détaillée pour une tâche spécifique
- Directive/Guideline : Recommandations, non obligatoires. Guides opérationnels de mise en œuvre des procédures
Analyse de Risque
Risque | Potentiel de préjudice ou de perte, souvent défini par un événement et/ou une conséquence.Un Risque possède un impact, une fréquence, une certitude/probabilité.Exemple : Risque de perte financière suite à la panne électrique du Data CenterNotions : Source, cause, événement, conséquenceAutre définition : Probabilité qu’une menace utilise une vulnérabilité |
Menace | Cause possible d’un événement ou d’un incident. Scenario lié.Nature, Origine, Motivation, Moyens alloués à l’agent de menace (attaquant)Exemple d’origines : Accident, malveillanceCf ISO 27005:2011 |
Facteur d’exposition | Pourcentage mesurant la perte de valeur d’un actif quand la menace se réalise.Peut dépendre des contre-mesures. |
Incident | Un incident est la réalisation d’une menace. |
Probabilité d’occurrence | Fréquence ou taux de réalisation d’une menace.Peut dépendre des contre-mesures (réduction de la probabilité) et des MOM de l’attaquant (Moyens, Opportunités, Motivation) |
Vulnérabilité | Fragilité d’un système (opérationnelle, technique, physique, humaine). Représente une opportunité d’attaque |
Impact | Conséquence, dommage (image de marque, perte financière, engagement de responsabilité, perte de productivité) |
Contrôle | Synonyme de contre-mesure, mesure, dispositif de sécurité… |
RISQUE = MENACE + VULNERABILITES
NIVEAU DE RISQUE = PROBA. OCCURRENCE x IMPACT POTENTIEL
Niveau de Risque est souvent appelé exposition au risque, risque estimé, voire risque.
ALE = SLE x ARO
Annual Loss Expectancy = SLE x Annual Rate of Occurrence
SLE = AV x EF
Single-loss Expectancy = Asset Value x Exposure Factor
SLE = Perte réelle quand la menace se réalise
ALE = Perte réelle attendue, lissée sur une année
Mesures de sécurité
- Organisationnelle
- Techniques/Logiques
- Physiques
- De type :
- Préventif
- Détection
- Correctif
- Directif (règlement, etc)
- Dissuasif
- De reprise
- Compensatoire
L’approche peut être « Best Practices » (simple mais moins efficace) ou « Piloté par les Risques » (plus complexe mais plus efficace).
Management du risque (ISO 27005)
- Etablissement du contexte
- Appréciation des risques (identification, estimation des risques, évaluation des risques)
- Traitement des risques
- Acceptation des risques
- Communication sur les risques
- Monitoring et revue des risques
Risk Assessment = Appréciation des risques (identification des actifs à protéger, des menaces et agents menaçants, mesure de sécurité existantes, vulnérabilités présentes, impacts potentiels)
Risk Analysis = Analyse des risques, suivant une méthode (EBIOS, MEHARI)
Traitement du risque
- Accepter
- Eliminer
- Transférer
- Réduire
Communication
- Sensibilisation
- Formation (professionnels impliqués dans les processus SSI)
- Education (experts SSI)
Sécurité des Actifs
Classification et Labellisation
Classification
Donnée sensible : confidentielle, protégée, propriétaire
Sécurité de l’Engineering
Menaces
- Canaux cachés : mémoire et temporel (plus sophistiqué).
- Entrées de service (maintenance hook)
- Défaut de synchronisation (TOC/TOU, Time-of-check/Time-of-use) ou Race Condition
- Buffer Overflow
Modèles de sécurité
ESA, Entreprise Security Architecture
Description précise et complète.
ISO/IEC 15288
Ingénierie des systèmes
Modèle V (cycle en V)
Connu, chaque phase de test répond à une phase de conception
NIST SP 800-14
Principes généraux de sécurité des systèmes
ISO/IEC 15408 – Critères Communs
Norme internationale
NIST SP 800-27 Rev A (cycle de vie des systèmes)
Initiation, développement/acquisition, implémentation, opérations/maintenance, fin de vie
ISO/IEC 21827 – SSE/CMM
System Security Engineering/Capability Maturity Model
Métrique standard couvrant les pratiques d’ingénierie de sécurité.
Zachman Framework
Framework d’architecture d’entreprise. Règle des 6 « W » : what, how, where, who, when, why.
Modèles : visionary, owner, designer, builder, implementer, worker
SABSA (Sherwood Applied Business Security Architecture)
Approche basée sur l’analyse des exigences métier, donc approche par les risques (« risk driven »). Distinct de Zachman, mais structure proche (6 « W »).
TOGAF
Architecture d’entreprise.
- ADM : Architectural Development Method (processus)
- ACF : Architecture Capability Framework (composants)
ITIL
Qualité de service.
Architecture physique d’un ordinateur
Généralités
- Instruction CPU : extraire (lire), décoder, exécuter, écrire
- Processus : contrôlé par l’OS. Thread (ou fil) : contrôlé par un processus.
- VM : Hyperviseur Type I = Bare Metal ; Type II = Nécessite un OS
Conception sécurisée
- Isolation temporelle, physique, virtuelle
- Isolation de processus : encapsulation, multiplexage temporelle, nommage
- Protection par anneau :
- 0 : OS
- 1 : I/O
- 2 : Utilitaires (drivers…)
- 3 : Utilisateur (applications)
- TCB défini par le livre Orange (DoD) : c’est le minimum dont on est sûr. On ne communique avec le TCB qu’avec « Trust Paths », contrôlés et vérifiés.
- Reference Monitor : spécifications. Contrôle d’accès (MAC, RBAC, DAC…)
- Security Kernel : mise en œuvre. Communication via trust Paths.
Types de modèles de sécurité
Définition des droits
DAC : A la discrétion d’un utilisateur propriétaire de la ressource
MAC : Application d’une politique de sécurité, type militaire
RBAC : Matrice de droits, basé sur des rôles/fonctions
Rule Based AC : Basé sur des règles (ex : firewall)
Modèles de sécurité
Machine à états
Flux d’information (ex : Bell LaPadula, Biba)
Non interférence
Bell-LaPadula
Assure la confidentialité. On ne peut écrire que vers le haut (vers un niveau de confidentialité supérieur), ce qui évite de « déclassifier » une information.
- Règle simple (no read up) : « append » vers le haut
- Règle étoile (no write down) : « read » vers le bas
Biba
Assure l’intégrité des données. Un sujet ne peut pas écrire vers le haut (niveau de confidentialité supérieur).
- Règle simple (no read down) : ne peut pas lire vers le bas
- Règle étoile (no write up) : ne peut pas écrire vers le haut
- Invocation property (?)
Brewer Nash (« Chinese wall »)
Matrice. But : éviter les conflits d’intérêt. Adresse la confidentialité.
The Brewer and Nash model, also known as the Chinese Wall model was designed to allow access controls to dynamically change based on previous actions that a user performed. This model’s main goal is to protect an organization’s assets from a user’s conflict of interests by automatically denying access to resources that would cause a conflict of interest.
Clark Wilson
Gère l’intégrité des données, destiné aux environnements commerciaux classiques. Basé sur une matrice de contrôle d’accès.
- Séparation des tâches pour éviter collusion entre utilisateurs ;
- Cohérence des transactions (« well formed »), pour toujours rester dans un état cohérent.
The Clark-Wilson model was developed as an extension to the Biba model. Concepts in the model revolve around the inability to directly access and/or manipulate objects to prevent data corruption.
This security model was developed with a great deal of focus on information integrity and fraud prevention. It requires the use of an abstraction layer that prevents subjects from directly accessing the object. The abstraction layer enforces the integrity of the object.
Graham Denning
Matrice. Adresse l’intégrité des données. Les sujets ont des droits transférables. Décrit la création des objets et le contrôle de la modification des accès.
HRU (Harrisson-Russo Ullman)
Matrice, intégrité des données. S’occupe des droits d’accès et l’intégrité de ces droits.
Modes de sécurité opérationnelle
Accord de confidentialité plus, selon le cas :
Autorisation adéquate | Approbation formelle d’accès du propriétaire | Accès (besoin d’en connaître) | ||
Exclusif | Tous les utilisateurs accèdent à toutes les données | Toutes | Toutes | Toutes |
Dominante sécurité | Tous les utilisateurs accèdent à certaines données | Toutes | Toutes | Certaines |
Cloisonné | Idem | Toutes | Certaines | Certaines |
Multi-niveaux | idem | Certaines | Certaines | Certaines |
Exclusif : système isolé en général.
Méthodes d’évaluation de la sécurité et critères
Livre orange (DoD)
TCSEC
Trusted Computer System Evaluating Criteria (1983)
Niveaux croissants :
- D : Minimal
- C : Sécurité discrétionnaire (DAC)
- C1 : Intégrité, DAC, isolation des processus privilégiés
- C2 : DAC plus fin, piste de vérification, isolation des ressources, documentation…
- B : Protection obligatoire (MAC)
- B1 : Etiquette de sensibilité, contrôle d’accès obligatoire, traitement des failles
- B2 : Protection structurée, documentée, et formalisée, analyse des canaux mémoire, contrôles renforcés
- B3 : Exigences monitorées (suivies, vérifiées), administration de la sécurité, détection automatique d’intrusion, analyse des canaux temporels
- A1 : Protection vérifiée (tout est documenté de manière formelle)
Livre rouge (DoD)
TNI
Trusted Network Implementation
- Application du livre Orange au réseau local et étendu
Niveaux : ø < C1 (minime) < C2 (moyen) < B1 (bon)
ITSEC
Information Technology Security Evaluation Criteria, initiative européenne dans les années 1990.
Niveaux de E0 (non confiance) à E6 (confiance maximale).
Concepts/fonctionnalités prendre en compte :
- Identification
- Authentification
- Contrôle d’accès
- Imputabilité
- Vérification
- Réutilisabilité des objets
- Fidélité (intégrité)
- Fiabilité du service
- Echange de données
Prédéfinition de classes.
Critères Communs (ISO 15408)
Norme internationale, couvrant divers systèmes et produits de sécurité (AV, firewalls, PKI, OS, routeurs, switchs, VPN, puces…).
- Cible d’évaluation (Target Of Evaluation) : objet à certifier
- Profil de protection (PP) : Exigences (pour une catégorie de produit). Correspond aux besoins de l’utilisateur
- Cible de sécurité (Security Target) : Exigences utilisées pour la base de l’évaluation (niveau de sécurité souhaité, pour le produit à évaluer)
- Composants : la politique de sécurité est décrite à l’aide de composants.
SFR = Security Functionnal Requirements (exigences fonctionnelles) ➔ incluses dans le ST
Il existe 11 familles de composants SFR.
- FAU audit de sécurité, FCO communication, FCS support cryptographiques, FDP protection données utilisateur, FIA identification et authentification, FMT gestion de la sécurité, FPR vie privée, FPT protection de la solution de sécurité de la TOE (TSF), FRU utilisation des ressources, FTA accès TOE, FTP chemins/canaux sécurisés.
SAR = Security Assurance Requirements ➔ Evaluation
Il existe 10 familles de composants SAR.
- ACM gestion de la configuration, ADO distribution et opération, ADV développement, AGD gestion des directives, ALC support du cycle de vie, ATE tests, AVA évaluation des vulnérabilités, AMA maintenance de l’assurance, APE évaluation du profil de protection, ASE évaluation de la cible de sécurité.
Niveaux CC (Evaluation Assurance Level)
- EAL1 : Testé fonctionnellement
- EAL2 : Testé structurellement (= C1)
- EAL3 : Testé et vérifié méthodiquement (= C2)
- EAL4 : Conçu, testé, et vérifié méthodiquement (=B1)
- EAL5 : Conçu de façon semi-formelle et testé (= B2)
- EAL6 : Conception vérifiée de façon semi-formelle et testé (= B3)
- EAL7 : Conception vérifiée de façon formelle et testé (A1)
Processus d’évaluation
- Evaluation du PP (cohérent, complet)
- Evaluation de la ST (capable d’évaluer la TOE correspondante)
- Evaluation de la TOE : détermination du niveau EAL.
- Evaluation de l’assurance : Démontre que l’assurance établie en TOE est entretenue/maintenue.
CERTIFICATION = Vérification.
ACCREDITATION = Acceptation formelle de la direction du niveau de sécurité et du niveau de risque associé.
Common Structural Coverage metrics
- Statement/Decision/Condition/Multiconditions/Loop/Path/DataFlow
- Vérification des programmes informatiques ?
Stratégies de vérifications : positive (le programme fait ce qu’on attend) ou négative (on vérifie que l’appli sait gérer les imprévus)
ISCM
Define > Establish strategy/metrics… > Implement > Analyse data collected > Respond > Review > Update
Vulnérabilités
- Emanations (fuite « mécaniques »), canaux cachés, inférence (déduction), agrégation (combiner des infos non sensibles), datawarehouse (destruction des structures de contrôle), data mining (découverte de données).
Mesures de sécurité : connu.
Sécurité des réseaux et des télécommunications
https://www.commentcamarche.net/faq/2238-reseaux-concentrateur-hub-commutateur-switch-et-routeur
PAN : Personal Area Network.
SAN : Stockage AN.
MAN : Metropolitan AN, entre LAN et WAN
Equipements
Hub, Répéteur (1, octet) < Pont/Bridge, switch (2, trame) < Routeur (3)1
- Un hub n’est qu’une multiprise RJ45. Il peut aussi être répéteur (s’il est alimenté).
- Un pont peut interconnecter plusieurs « réseaux » en redirigeant le trafic en fonction de l’adresse Mac. Ici, 1 port = 1 segment réseau. Tout paquet est retransmis vers tout le monde. Il peut également faire office de répéteur.
- Un switch travaille aussi au niveau Mac. 1 port = 1 adresse Mac. Tout paquet n’est renvoyé que vers le destinataire.
- Un routeur travaille à partir d’une table de routage, qui indique sur quel segment réseau envoyer les paquets en fonction de l’adresse Mac. Un routeur sait travailler sur plusieurs sous-réseaux, et peut en créer (VLAN) et parfois les protéger (pare-feu).
Typologie : bus, étoile, anneau (ring), arbre, tas de merde (mesh)
- Bus, étoile : risque de collision, à gérer. Principe de base ; on écoute avant d’émettre.
- Token ring (matériel ou virtuel) : seul la machine disposant d’un jeton peut émettre.
Mode de transmission : Unicast (un seul dest), broadcast (tout le monde), multicast (plusieurs dest.)
Réseaux
LAN
Méthode de négociation LAN :
- CSMA/CD : Carrier Sense Multiple Access with Collision Detection (ex : ethernet)
- CSMA/CA : Collision Avoidance (ex : wifi)
- Polling (mainframe)
- Token passing
WIFI
ad hoc (tout le monde se parle), infrastructure (passage par un point d’accès), maillé (plusieurs points d’accès avec routage filaire)
WAN
T1 (1.5 Gbits/s), T3 (44 .7 Gbits/s) aux USA, E1 (2.0 Gbits/s), E3 (34.3 Gbits/s) en Europe
HDLC : High-level Data Link Control. Protocole niv 2 synchrone. Améliore le SDLC (Synchronous DLC). Sont de niveau 2 OSI.
HSSI : Protocole de niveau 1
PPP : Basé sur HDLC. Authentification par PAP, CHAP, EAP
X25 : en déclin. Performances << ATM (commutation de cellules, très robuste) ou Frame Relay (packet switching, débit minimal garanti ?)
RNIS : « Numérisation » du réseau RTC (local)
MPLS : Multiprotocol Label Switching), hautes perfs. MP : peut transporter IP (v4 et v6), Ethernet, ATM, DSL, Frame Relay.
VSAT : Very Small Aperture Terminal (via satellite)
VLAN
Lan virtuel. Voir norme 802.1q
PVLAN
VLAN avec restrictions sur certains ports (uplink). Les ports restreints sont appelés ports privés.
Typiquement il y a un seul port ascendant, vers le routeur, firewall, FAI…
VLAN primaire : VLAN d’origine. Utilisé pour envoyer les flux vers les VLAN secondaires
VLAN secondaires :
- Isolé : Ne peut atteindre que le VLAN primaire ; les hôtes de ce VLAN ne peuvent pas communiquer non plus. Un seul isolé par VLAN primaire.
- Communauté : Les ports d’un VLAN communautaire peuvent communiquer entre eux. Impossibilité de communiquer entre VLAN secondaires. Il peut y en avoir plusieurs.
Ports de VLAN privé :
- Un port en mode promiscuous (P), branché au routeur ; il peut envoyer et recevoir de n’importe quel VLAN.
- Ports hôte
- Port isolé : ne peut communiquer qu’avec P
- Port communautaire : peut communiquer avec P et les ports de sa communauté
Modèle OSI
- Physique (bit)
- Liaison de données (Data Link, trames ou frames) ➔ Adresse MAC (« camion de la Poste »)
- Réseau (Network, paquets) ➔ Adresse IP. Adressage logique d’un paquet, sélection des routes (« centre de tri postal »)
- Transport (datagrammes UDP, segments TCP) ➔ Livraison de données, correction d’erreurs, contrôle des flux
- Session ➔ RPC, SQL, NetBios Names…
- Présentation ➔ ASCII, EBCDIC, JPEG, GIF, chiffrement…
- Application ➔ HTTP, DNS, FTP, telnet, NFS, SMTP, SNMP…
Internet
Couches 5 à 7 regroupées en une seule (application).
Classe d’adresse :
- A : 0 x x x x … donc 0.0.0.0 à 127.255.255.255 (/8)
- B : 1 0 x x x… donc 128.0.0.0 à 191.255.255.255 (/16)
- C : 1 1 0 x x … donc 192.0.0.0 à 223.255.255.255 (/24)
- D : 1 1 1 0 x … donc 224.0.0.0 à 239.255.255.255 (/4)
- E : le reste > 240.0.0.0, réservée
Classes privées (RFC1918) :
- A : 10.0.0.0/8 (10.0… à 10.255…) disposant de 224 adresses
- B : 172.16.0.0/12 (172 .16.0… à 172.31.255…) soit 16 réseaux de classe B contigus (220 adresses)
- C : 192.168.0.0/16, 255 réseaux de classe C contigus (216 adresses)
TCP vs UDP : protocoles de niveau 4 (transport) mais TCP est « fiable » (demande un accusé de réception du paquet), UDP est en « best effort ».
Routage
Algorithmes de routage :
- EGP/Extérieur AS : (p) path vector
- BGP v4 (« path vector routing protocol ») (p)
- IGP/Intérieur EAS : (d) distance vector, (l) link state, hybride.
- RIP v1 et v2 (d), IGRP (d), EIGRP (d), OSPF (l), IS-IS (l)
Authentification réseau
En PPP
PAP : Password Authentication Protocol, mot de passe en clair
CHAP : Challenge-Handshake AP : pas de mot de passe, challenge
EAP : Utilisation de certificats X509
En centralisé
AAA : Authentication, Autorisation, Accountability
Ex : Radius, Diameter, Tacacs, Kerberos, Sesame
Parefeux
- Gen 1 : packet filtering (ACL), layer 3
- Gen 2 : proxy FW (socks). Semblable à G1 mais en rupture de flux (proxy). Peut être implémenté en « application layer proxy FW » (1 par protocole)
- Gen 3 : stateful FW, avec historique, moteur d’analyse des états, etc
- Gen 4 : Gen 3 en proxy.
- Gen 5 : Kernel Proxy FW. Tentative de Cisco, mais abandonné.
Figure 2-1. Simple firewall architecture (dual-homed) | Figure 2-2. Single-firewall DM2 architecture (three-homed) |
Figure 2-3. « Screened subnet » DM2 architecture | Figure 2-4. Better screened subnet architecture (fully firewalled variant) |
Isolation par VPN
- PPTP : Propre à Microsoft. Encapsulation GRE. Niveau LAN (uniquement @IP)
- L2TP : PPTP + L2F de Cisco. Niveau WAN
- IPSEC : Canaux sécurisés entre ordinateurs plutôt qu’entre applis comme avec SSL. Défini dans différents RFC (2401, 2402, 2406, 2408)
- SA : Security Association (Security Parameter Index + @IP dest + protocole de sécurité (AH ou ESP))
- SA de transport (liaison point à point, couches 4 à 7 OSI)
- SA tunnel (entre sites ou accès distant, couches 3-4 ?)
- IKE : RFC2409, échange de clé (Internet Key Exchange)
- Combinaison ISAKMP et OAKLEY
- Phase 1 (« admin ») : authent, établissement paramètres IPSEC.
- Phase 2 : établissement de tunnels secondaires pour échange des données (renouvellement ce clé ➔ nouveau tunnel secondaire)
- AH (Authentication Header)/ESP (Encapsulating Security Payload)
- AH, protocole 51, établit l’identité des systèmes
- EPS, protocole 50, chiffre les données échangées
- Peuvent être en mode transport (entre 2 hôtes) ou tunnel (entre 1 hôte ou 1 passerelle avec une autre passerelle). Une passerelle n’a besoin que du mode tunnel, un hôte doit supporter tunnel et transport.
- Mode transport = entête original + nouvel header + payload original…
- Mode tunnel = on encapsule (entête original + payload original)
- Note : Chiffrement ➔ ajout d’un trailer de « signature »
- SA : Security Association (Security Parameter Index + @IP dest + protocole de sécurité (AH ou ESP))
Vocabulaire réseau
Frame Relay
ATM
NAT/PAT : Network AT ou Port AT
DNP3 : Protocole niveau 2 utilisé dans les systèmes industriels. Aucune sécurité.
Disques
- Raid 0 : disques en // (perf uniquement)
- Raid 1 : mirroring
- Raid 5 : répartition (au moins 3 disques) avec parités
- Raid 6 : RAID 5 mais tolère la panne de 2 disques. Au moins 4 disques.
- Raid 10 : 0 + 1
- Sauvegardes incrémentale (= depuis la dernière svg) différentielle (= depuis la dernière svg complète)
Cryptographie
- Confidentialité ➔ Chiffrer
- Intégrité ➔ Hacher
- Authenticité et intégrité ➔ Signer. Permet aussi la non-répudiation
Anciens procédés
- Chiffre de César ➔ Substitution
- Procédé de Vigénère ➔ Substitution polyalpha
- Chiffre de Vernam ➔ Masque jetable (longueur de clé = longueur de message)
Algorithmes modernes
- Principe de Kerckoff : la force repose sur la clé et non le secret de l’algo.
- Le chiffrement peut se faire en bloc, en continu, ou par masque jetable
- Algo symétriques : difficiles à casser (clés > 128 bits), rapide, mais prb échange de clé (pour N correspondants, il faut échanger n(n-1)2 clés.
- Algo asymétriques : pas d’échange de clé mais lent (1000 à 10 000 fois plus lent), besoin de clés plus grandes (sauf courbes elliptiques)
Symétriques
Modes d’opérations cryptographiques
Figure 1 ECB (Electronic Codebook) | Figure 2 CBC (Cipher Block Chaining ) |
Figure 3 CFB (Cipher Feedback) type flux | Figure 4 OFB (Output Feedback) type flux précalculable |
Figure 5 Compteur type flux précalculable |
Algos symétriques
- Lucifer/DES : Bloc 64 bits, clé 56 bits. Utilise ECB et CBC généralement.
- Rijndael : symétrique, remplace DES/3DES. Clés et blocs de 128 à 256 bits.
- AES : Rijndael + qqs paramètres. Clés : 128, 192 ou 256 bits. Bloc 128 bits.
- IDEA, utilisé dans PGP
- RC2, RC5, RC6 (Ronald RIVEST)
Asymétriques
- RSA (nombres premiers)
- Diffie-Hellman, El-Gamal, Elliptic Curve Cryptosystem (logarithmes discrets)
- PGP
Protocoles internet
- TLS (> SSL), permet de sécuriser tout protocole TCP
- S/MIME : Secure MIME, basé sur PKCS (Private Key Cryptography Strandards) et X509
- PGP (Phil ZIMMERMANN), utilise IDEA et RSA
- SET (Visa, Mastercard), remplacé par 3DSecure
- S-HTTP : Authent. mutuelle par certificat
- IKE : Echange de clé sur internet (basé sur ISAKMP et OAKLEY)
- IPSEC : utilise les protocoles AH (Authent. Header) et ESP (Encaps. Security Payload)
- SSH
Hachage
- MD2, MD4, MD5 (R. Rivest encore)
- HAVAL
- SHA (160, 256, 512 bits)
- RIPMED-160
- MAC/HMAC : Fonctions de hachage avec clé secrète assurant intégrité et authenticité
- MAC : message + clé
- HMAC : itérations cryptos…
Signature
Intégrité et authenticité (calcul d’un hash du message, puis chiffrement asymétrique du hash).
Algos : RSA (FIPS-186), DSA, ECDSA
Autorité de certification
Composantes : Certificat > Autorité de certification (émet et vérifie les certificats) > Autorité d’enregistrement (vérifie l’identité, envoie les demandes à l’AC) > Référentiel des certificats (conserve les certificats, gère les CRL)
Vocabulaire cryptographie
Link encryption : chiffrement au niveau 2 (data link). Nécessite la confiance en tous les éléments supérieur du reseau…
End-to-end : Niveau applicatif ?
SP-Networks : Substitutions-Permutations
Attaques
- Side-channel analysis (émanations, puissance électrique…)
- Fault analysis
- Probing attack (observation autour de l’unité cryptographique)
IAM
Approche : physique, logique, administrative
[802.1x : authent/ident réseau, niveau OSI 2]
Méthode IAAI : Identification, Authentification, Autorisation (besoin d’en connaître, moindre privilège), Imputabilité.
[PAM : account, auth, password, session]
SASL : Simple Authentication and Security Layer (IETF). Relatif au mot de passe ?
Biométrie : CER (Crossover Error Rate) = EER (point où FAR = FRR). FRR : Type I. FAR : Type II.
Contrôles centralisés d’accès aux systèmes
Radius
AS : Serveur d’Authentification, point d’entrée. Basé sur n’importe quelle BD (fichier, LDAP, AD, mySQL…)
NAS : Network Access Server
TACACS+
Propriétaire Cisco, basé sur TACACS
Diameter
Radius + TACACS+ avec améliorations
Kerberos
Point critique : échange initial des clés (car basé sur de la crypto symétrique)
Contrôles décentralisés
Contrôle au plus près des ressources, souvent via des domaines de sécurité
Exemple : Windows Workgroup
Modèles de contrôle
Définit comment un sujet accède à un objet.
- DAC (en général décentralisé)
- MAC (classification des objets et habilitations des sujets), en général centralisé
- RBAC, en général hybride
- Rule-based AC
- Non discrétionnaire
Contrôles d’accès aux données
- Interface restreinte (programme, vue de BD…)
- Contenu (seuls les employés de la paye accèdent aux données/logiciel paye)
- Contexte (horaires d’accès, lieu…)
- Moindre privilège, besoin d’en connaître
- Sécurité des protocoles utilisés
Bonnes pratiques
- Séparation des fonctions, rotations
- Désenregistrements
- Revues périodiques
- TI, sensibilisations…
Evaluation et test de la sécurité
Etapes d’une attaque : reconnaissance/information, scan et énumération, accès à la cible, maintien de l’accès, effacement des traces
Etapes d’un TI : reconnaissance/information (selon le type : white, gray, blackbox), scan et énumération, validation des vulnérabilités, éventuellement effacement des traces (rares)
Sécurité des opérations
Faire fonctionner les systèmes conformément à la politique et aux procédures, s’assurer que les sauvegardes sont réalisées et utilisables, répondre efficacement aux incidents de sécurité, gérer les changements (patch, configuration)
Sécurité Physique ➔ FailSafe
Mesures/Type de contrôles
- Directifs : information, règles
- Préventifs : supervision, gardiens, tests, sensibilisation…
- Détection : IDS, alarmes…
- Correctifs : antivirus, IPS…
- Récupération/Réparateurs : sauvegardes
- Compensatoires : alternative à un contrôle
- Dissuasives : vidéo, affichages…
Gestion du changement : demande d’intervention (« change request »), contrôle du changement (« change »), mise en production du contrôle (« release »)
Réponse aux incidents de sécurité : Triage, Investigation, Reprise.
Sécurité du développement logiciel
Ver : N’a pas besoin d’hôte pour se propager (contrairement à un virus)
Développement
- Initiation du projet : analyse préliminaire
- Planification : définition des exigences fonctionnelles
- Conception : exigences fonctionnelles traduites en spécs détaillées
- Développement : mise en œuvre et plans de test
- Essai : TU, TI. Si besoin : accréditation (suite à certification). Documentation
- Mise en œuvre
- Maintenance
- Retrait/Elimination
CMM : Capability Maturity Model
- Introductif
- Reproductible (processus basiques)
- Défini : Toute l’organisation respecte les processus standards (périmètre complet, mises-à-jour)
- Géré : Qualité des processus contrôlée (mesuré)
- Optimisé : Amélioration continue institutionnalisée (amélioré)
Informatique distribué
ORB : Object Request Broker. La plupart s’appuye sur CORBA
COM : Comm sur un même sysème (-> OLE). DCOM : Entre systèmes distribués (-> ActiveX)
Méthodologie cleanroom
SGBD
- Intégrité sémantique
- Intégrité de l’entité (non duplication, clé primaire correcte (non nulle))
- Intégrité référentielle (entre clés/enregistrements)
- ACID : Atomicity, Consistency, Isolation and Durability
Sécurité physique
Interférences magnétiques : moteurs électriques, foudre, mise à la terre…
Interférences radio : néons, fils électriques, radios…
Feux
- A : Eau, liquide ignifuge
- B (hydrocarbures) : CO2, FM200, mousse, bicarbonates de soude et potassium
- C (électriques) : CO2, FM200, poudre
- D (métaux) : poudre sèche
- K (huile de cuissson) : savon spécial, couvrir…
Halon : désormais interdit !
Normes : 20-23°C, 40-60% d’humidité
CPTED : Territorialité, Surveillance, Contrôle d’accès
Clôtures : dissuasion (1m), protection (2m), forte protection (2,5m)
Eclairage :
- 2 lumens à 2m de hauteur pour identification visuelle
- 5 pour un parking ?
Continuité des activités/Reprise après sinistre
PCA : Comprend le plan de reprise
- Initiation et management du projet
- Evaluation de l’état actuel (Ident menaces, gestion des risques, BIA/Business Impact Analysis)
- D’abord identifier tous les actifs (Business Units) puis déterminer fonctions et processus critiques.
- Evaluer le MTD : Max Tolerable Downtime (Délai max admissible pour le retour à la normale)
Non-essential (30 j) < Normal (7 j) < Important (72 h) < Urgent (24 h) < Critique (minutes)
- Déterminer les ressources IT nécessaires aux fonctions et processus IT critiques
- RTO : Recovery Time Objective (Délai max d’interruption admissible). Peut se rapporter aux coûts…
- RPO : Recovery Point Objective (Délai max admissible de perte de données)
- WRT : Work Recovery Time (Délai de récupération)
Conformité
HIPAA : Assurances (confidentialité)
Gramm-Leach-Billey (GLBA) : sécurité et confidentialité institutions financières
SOX : Sociétés côtés
Preuve :
- Exacte
- Admissible (inclut la pertinence, la légalité de son obtention…)
- Authentique
- Convaincante
- Complète
Niveaux de preuve US :
- Best (original)
- Secondary (copie)
- Direct (objet/sujet en lui-même)
- Conclusive (irréfutable)
- Corroborative
- Circumstancial (faits indirects, certains mais impossible à relier de façon certaine)
Ethique
- Protéger la société, le bien commun, les infrastructures
- Agir honorablement, honnêtement, de façon juste, responsable et légale
- Fournir les services avec compétence et application
- Faire avancer et protéger la profession
Vocabulaire
Accountability : Imputabilité ou responsabilité
DMIA : Délai Maximum d’Interruption Admissible (RTO, Recovery Time Objective)
CMDB : Configuration Management DB
COBIT : Control Objectives for Information and related Technology. Bonne gouvernance des
ressources informatiques. Base « minimale » de services de sécurité à implémenter.
CVC : Chauffage, Ventilation, Climatisation
Disaster Recovery ➔ Technical Env.
FRAP (Facilitated Risk Analysis Process) : Analyse d’un système ou application à la fois
ISO 27002 : Recueil de bonnes pratiques
ICS : Industrial Control Systems (SCADA)
Socket : IP, port, protocole
X501/X500
Tactical Szcurity Plan : Un aspect spécifique d’un plan stratégique. Ex : emploi de nouvelles technos de sécurité
Electronic vaulting ➔ Sasuvegarde hors site par voie électronique
Remote journaling ➔ Transactions/Journal de logs envoyés vers secours/mirroir
Classification données US : confidential > private > sensitive > internal use > public
IPv6 : 128 bits
CMM : Initial, Repeatable, Defined, Managed, Optimized
- Incident
- Problème : incident qui se répète
- Changement
- Configuration
Attaques
SMURF : attaque réseau distribuée (via broadcast)
Teardrop attack : données incomplètes (le serveur attend la suite en vain)
War Driving : attaque sur les points d’accès, par récupération d’info en voiture…
Whaling : phishing vers le top management
Vishing : phishing par téléphone
Piggybacking : utiliser les identifiants de qqn d’autre
Tailgating : pousser au portillon…
Baiting
Due diligence takes place in planning, and is done to ensure that all possible weaknesses and threats were considered. Due care is the set of actions to mitigate weaknesses in the current situation.
A risk is the likelihood that a threat agent will take advantage of a vulnerability. It ties the vulnerability, threat and the likelihood of being exploited, to the business impact that could result.
A company purchased anti-virus software from a leading vendor and installed it. However, the signatures were not kept up-to-date. This is a vulnerability since the company is now prone to virus attacks. The threat is that a virus will actually show up and disrupt systems. Risk is the likelihood of the virus showing up.
A good business continuity plan will be structured as Initiation phase, Activation phase, Recovery phase, and Reconstruction phase.
PII does not include information that is readily available from a telephone directory. However, when it is combined with a third item of information, such as an account number, it becomes private.
Radio frequency interference (RFI) can be caused by devices that produces radio waves and is commonly caused by fluorescent lights in buildings. Shielded cabling and proper placement of cables are ways to help prevent interference due to fluorescent lighting.
Security plans should be designed to be useful for at least three years.
Standards refer to mandatory activities or rules.
End-to-end encryption : in this form of encryption, details such as the addresses, routing information, header and trailer information are not encrypted, thereby enabling an attacker to gain details without the need for decryption. In contrast, link encryption (also known as online encryption) provides better security against packet-sniffers.
Code of Ethics Canons
- Protect society, the common good, necessary public trust and confidence, and the infrastructure.
- Act honorably, honestly, justly, responsibly, and legally.
- Provide diligent and competent service to principles.
- Advance and protect the profession.
HORS CISSP
Cf site zerodium
Outils cités
- Google ! (Google Dorks)
- Maltego : recueil d’infos
- Httprint : infos sur le serveur (fingerprinting)
- The harvester (cf Kali Linux)
- Web Data Extractor
- NMAP, Netcat, Hping, Angry IP Scanner
- Unicorn.net ou org (obsolète)
- Détections de vuln. manuels : Nessus, WPScna, ISS, Saint
- Détections de vuln. auto. : Core Impact, Canvas, Retina
- Commandes Win : net view, net use, nbstats, currport, netstat
- Volatility