CM2 - Panorama des vulnérabilités
François Lesueur (francois.lesueur@insa-lyon.fr, @FLesueur)
Les pans de la sécurité
Sécurité = Confidentialité, Intégrité, Disponibilité :
Les spécificités de la sécurité :
Sécu défensive et sécu offensive (dans le respect de la loi, bien évidemment) :
Notion de vulnérabilité
Qu’est-ce qu’une vulnérabilité ?
- Vulnérabilités : partout, toujours, dans plusieurs états (connues et patchées, connues et non patchées, non connues du grand public et non patchées, non connues et non patchées)
- No disclosure, Full disclosure, Responsible disclosure (Politique Google P0, resp fail)
- Cycle de vie d’une vulnérabilité : Vidéo (Graphisme de Gabriel Augendre [gabriel@augendre.info], 5TC 2018, CC-BY 4.0)
Quand on sait que certaines vulnérabilités sont non publiques mais utilisée par des états/des groupes avancés, que penser des outils qui disent détecter les menaces inconnues (grâce à l’IA, évidemment) mais ne les ont pas détecté depuis les années qu’elles sont utilisées ?
Classes d’attaques
- Réseau
- Passif (écoute)
- Actif : MitM, être sur le chemin (physique, ethernet ARP spoof, IP rogue DHCP) (NSA, FAI, INSA, attaque équipement sur la route, attaque sur l’hôte)
- Logiciel : RCE, élévation de privilèges, WEB, natif, fautes logiques : vivre dans l’insécurité. On peut discuter (discord) de buffer overflows, format strings, type de vulnérabilités web, …
- Social engineering (pas la faute de l’utilisateur !) : voler des accès, phishing de qualité, passwords, carte de crédit. De grossier à ciblé, utilisation de facebook pour connaître les amis, ceux qui sont en vacance, où, etc. De beaux site en https avec une petite typo. Mail spoofing. Attraper 1 parmi 1000. Trop facile de taper sur l’utilisateur, les systèmes ne sont pas adaptés, les informaticiens sont nul en compta. Accompagner, prévoir, surveiller. Schneier : “Stop trying to fix the user”
Que faire ?
Systèmes fondamentalement non sûrs. L’infrastructure est un endroit de mitigation possible :
- défense en profondeur
- cloisonnement
- surveillance
- partage
- patch management
- La sécurité n’est pas une liste d’outils ! éviter la collection (HalvarFlake blackhat ASIA 2017), les outils complexes et privilégiés.
Le déroulé du cours
- Ce qu’on va voir, ce qu’on ne va pas voir
- Séances (cours, TP, article, discord)
Petit panorama des malwares
À approfondir par vous-mêmes, en bonus :
- Virus
- Vers
- Chevaux de Troie
- Backdoors
- Rootkits
- Botnet
- Keylogger
- Ransomware
- (liste non exhaustive)
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 2.0 France.