skem | SOKEM Technologies

Les 20 règles LPM pour chaque Système d’Information d’Importance Vitale

Mar 31,2023 Laisser un commentaire

Règle 1 – Règle relative à la politique de sécurité des systèmes d’information

1.1-L’opérateur d’importance vitale élabore, tient à jour et met en œuvre une politique de sécurité des systèmes d’information (PSSI).

1.2-La PSSI décrit l’ensemble des moyens organisationnels et techniques, en particulier …

1.3-La PSSI et ses documents d’application sont approuvés formellement par la direction de l’opérateur.

1.4-L’opérateur élabore au profit de sa direction, au moins annuellement, un rapport sur la mise en œuvre de la PSSI et de ses documents d’application

1.5-La PSSI, ses documents d’application et les rapports sur leur mise en œuvre sont tenus à la disposition de l’ANSSI

Règle 2 – Règle relative à l’homologation de sécurité

2.1-L’opérateur d’importance vitale procède à l’homologation de sécurité de chaque système d’information d’importance vitale (SIIV)

2.2-Mise à disposition de l’ANSSI du dossier d’homologation. L’opérateur tient à la disposition de l’ANSSI les décisions et dossiers d’homologation, notamment les rapports d’audit

Règle 3 – Règle relative à la cartographie

3.1-L’OIV élabore et tient à jour les éléments de cartographie suivants …

3.1.1-L’OIV élabore et tient à jour l’élément de cartographie suivant : les noms et les fonctions des applications, supportant les activités de l’opérateur, installées sur le SIIV

3.1.2-Le cas échéant, l’OIV élabore et tient à jour l’élément de cartographie suivant : les plages d’adresses IP de sortie du SIE vers internet ou un réseau tiers, ou accessibles depuis ces réseaux

3.1.3-Le cas échéant, l’OIV élabore et tient à jour l’élément de cartographie suivant : les plages d’adresses IP associées aux différents sous-réseaux composant le SIIV

3.1.4-L’OIV élabore et tient à jour l’élément de cartographie suivant : la description fonctionnelle et les lieux d’installation du SIIV et de ses différents sous-réseaux

3.1.5-L’OIV élabore et tient à jour l’élément de cartographie suivant : la description fonctionnelle des points d’interconnexion du SIIV et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions

3.1.6-L’OIV élabore et tient à jour l’élément de cartographie suivant : l’inventaire et l’architecture des dispositifs d’administration du SIIV permettant de réaliser notamment les opérations d’installation à distance, de mise à jour, de supervision, de gestion des configurations, d’authentification ainsi que de gestion des comptes et des droits d’accès

3.1.7-L’OIV élabore et tient à jour l’élément de cartographie suivant : la liste des comptes disposant de droits d’accès privilégiés (appelés « comptes privilégiés ») au SIIV. Cette liste précise pour chaque compte le niveau et le périmètre des droits d’accès associés, notamment les comptes sur lesquels portent ces droits (comptes d’utilisateurs, comptes de messagerie, comptes de processus, etc.)

3.1.8-L’OIV élabore et tient à jour l’élément de cartographie suivant : l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais internet et d’accès distant mis en œuvre par le SIIV.

3.2-Les éléments de cartographie sont, le cas échéant, couverts par le secret de la défense nationale

3.3-Sur demande de l’ANSSI, l’opérateur lui communique les éléments de cartographie mis à jour

Règle 4 – Règle relative au maintien en conditions de sécurité

4.1-L’OIV élabore, tient à jour et met en œuvre une procédure de maintien en conditions de sécurité.

4.2-L’opérateur se tient informé des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources matérielles et logicielles de ses SIIV

4.3-L’opérateur installe et maintient toutes les ressources matérielles et logicielles de ses SIIV dans des versions supportées et mises à jour du point de vue de la sécurité

4.4-Préalablement à l’installation de toute nouvelle version, l’opérateur s’assure de l’origine de cette version et de son intégrité

4.5-Préalablement à l’installation de toute nouvelle version, l’opérateur analyse l’impact de cette version sur le SIIV concerné d’un point de vue technique et opérationnel

4.6-Dès qu’il a connaissance d’une mesure correctrice de sécurité, l’opérateur en planifie l’installation, et procède à cette installation dans les délais prévus

4.7-En cas de non installation d’une version supportée ou d’une mesure correctrice de sécurité (lorsque des raisons techniques ou opérationnelles le justifient), l’opérateur met en œuvre des mesures techniques ou organisationnelles pour réduire les risques associés. Il décrit ces mesures dans le dossier d’homologation.

Règle 5 – Règle relative à la journalisation

5.1-L’opérateur de services essentiels met en œuvre sur chaque système d’information essentiel (SIE) un système de journalisation qui enregistre les évènements pertinents pour la sécurité

5.2-Les événements enregistrés par le système de journalisation sont horodatés au moyen de sources de temps synchronisées.

5.3-Les événements enregistrés par le système de journalisation sont centralisés

5.4-Les événements enregistrés par le système de journalisation sont archivés pendant une durée d’au moins six mois. Le format d’archivage des événements permet de réaliser des recherches automatisées sur ces événements.

Règle 6 – Règle relative à la corrélation et l’analyse de journaux

6.1-L’opérateur d’importance vitale met en œuvre un système de corrélation et d’analyse de journaux qui exploite les événements enregistrés par le système de journalisation.

6.2-Le système de corrélation et d’analyse de journaux est installé et exploité sur un système d’information mis en place exclusivement à des fins de détection d’événements susceptibles d’affecter la sécurité des systèmes d’information.

6.3-L’opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d’analyse de journaux selon les règles fixées par le référentiel PDIS.

Règle 7 – Règle relative à la détection

7.1-L’OIV met en œuvre un système de détection qualifié de type « sonde d’analyse de fichiers et de protocoles », qui analyse l’ensemble des flux échangés entre les SIIV et les systèmes d’information tiers à ceux de l’opérateur.

7.2-Les systèmes de détection sont exploités selon les règles fixées par le référentiel PDIS. Ils sont exploités par un service de l’Etat ou un prestataire qualifié à cet effet .

Règle 8 – Règle relative au traitement des incidents de sécurité

8.1-L’OIV élabore, tient à jour et met en œuvre une procédure de traitement des incidents

8.2-L’opérateur ou le prestataire mandaté à cet effet procède au traitement des incidents selon les règles fixées par le référentiel PRIS

8.3-Un système d’information spécifique doit être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. Ce système est cloisonné vis-à-vis du SIIV concerné par l’incident.

8.4-L’opérateur conserve les relevés techniques relatifs aux analyses des incidents pendant une durée d’au moins six mois.

8.5-Il tient ces relevés techniques à la disposition de l’Agence nationale de la sécurité des systèmes d’information.

8.6-Le cas échéant, ces relevés techniques sont couverts par le secret de la défense nationale.

Règle 9 – Règle relative au traitement des alertes

9.1-L’OIV met en place un service de permanence lui permettant de prendre connaissance, à tout moment et sans délai, d’informations transmises par l’ANSSI relatives à des incidents, des vulnérabilités et des menaces.

9.2-Il met en œuvre une procédure pour traiter les informations ainsi reçues et le cas échéant prendre les mesures de sécurité nécessaires à la protection de ses SIIV.

9.3-L’opérateur communique à l’Agence nationale de la sécurité des systèmes d’information les coordonnées (nom du service, numéro de téléphone et adresse électronique) tenues à jour du service de permanence.

Règle 10 – Règle relative à la gestion de crises

10.1-Procédure de gestion de crises en cas d’attaques informatiques majeures

10.1.1-L’opérateur d’importance vitale élabore, tient à jour et met en œuvre une procédure de gestion de crises en cas d’attaques informatiques majeures, conformément à sa politique de sécurité des systèmes d’information.

10.1.2-Cette procédure décrit les moyens techniques et organisationnels dont dispose l’opérateur pour mettre en œuvre les mesures décidées par le Premier ministre en cas de crises.

10.1.3-La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte tenu des contraintes notamment techniques et organisationnelles de mise en œuvre.

Règle 11 – Règle relative à l’identification

11.1-L’opérateur d’importance vitale crée des comptes individuels pour les utilisateurs accédant aux ressources de ses SIIV.

11.2-L’opérateur d’importance vitale crée des comptes individuels pour les processus automatiques accédant aux ressources de ses SIIV.

11.3-Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels …

11.3.1-Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels, l’opérateur met en place des mesures permettant de réduire le risque lié à l’utilisation de comptes partagés et d’assurer la traçabilité de l’utilisation de ces comptes.

11.3.2-Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels, l’opérateur décrit les mesures de réduction du risque dans le dossier d’homologation du SIIV concerné et les raisons justifiant le recours à des comptes partagés.

11.4-L’opérateur désactive sans délai les comptes qui ne sont plus nécessaires.

Règle 12 – Règle relative à l’authentification

12.1-L’OIV protège les accès aux ressources de ses systèmes d’information d’importance vitale (SIIV), par un utilisateur ou par un processus automatique, au moyen d’un mécanisme d’authentification basé sur un élément secret.

12.2-L’opérateur définit, conformément à sa politique de sécurité des systèmes d’information, les règles de gestion des éléments secrets d’authentification mis en œuvre dans ses SIIV.

12.3-L’opérateur doit modifier les éléments secrets d’authentification lorsqu’ils ont été installés par le fabricant ou le fournisseur de la ressource, avant sa mise en service.

12.4-L’élément secret d’authentification d’un compte partagé doit être renouvelé régulièrement et à chaque retrait d’un utilisateur de ce compte ;

12.5-Les utilisateurs qui n’en ont pas la responsabilité, ne peuvent pas modifier les éléments secrets d’authentification. Ils ne peuvent pas non plus accéder à ces éléments en clair ;

12.6-Lorsque les éléments secrets d’authentification sont des mots de passe, les utilisateurs ne doivent pas les réutiliser entre comptes privilégiés ou entre un compte privilégié et un compte non privilégié ;

12.7-Lorsque les éléments secrets d’authentification sont des mots de passe, ceux-ci sont conformes aux règles de l’art telles que celles préconisées par l’ANSSI, en matière de complexité et en matière de renouvellement.

12.8-Lorsque la ressource ne permet pas techniquement de modifier l’élément secret d’authentification …

12.8.1-Lorsque la ressource ne permet pas techniquement de modifier l’élément secret d’authentification, l’opérateur met en place un contrôle d’accès physique à la ressource concernée

12.8.2-L’opérateur met en place des mesures de traçabilité des accès et de réduction du risque lié à l’utilisation d’un élément secret d’authentification fixe

Règle 13 – Règle relative aux droits d’accès

13.1-L’opérateur définit les accès aux différentes fonctionnalités de chaque ressource

13.2-L’opérateur n’attribue à un utilisateur les droits d’accès à une ressource et à ces fonctionnalités que si cet accès est strictement nécessaire

13.3-L’opérateur n’attribue à un processus automatique les droits d’accès à une ressource et à ses fonctionnalités que si cet accès est strictement nécessaire

13.4-Les droits d’accès sont révisés périodiquement, au moins tous les ans, par l’opérateur

13.5-L’opérateur établit et tient à jour la liste des comptes privilégiés

13.6-Toute modification d’un compte privilégié fait l’objet d’un contrôle formel

Règle 14 – Règle relative aux comptes d’administration

14.1-L’attribution des droits aux administrateurs respecte le principe du moindre privilège

14.2-Les opérations d’administration sont effectuées exclusivement à partir de comptes d’administration

14.3-Les comptes d’administration sont utilisés exclusivement pour les opérations d’administration

14.4-Lorsque l’administration d’une ressource ne peut pas techniquement être effectuée à partir d’un compte spécifique d’administration …

14.3.1-Lorsque l’administration d’une ressource ne peut pas techniquement être effectuée à partir d’un compte spécifique d’administration, l’opérateur met en place des mesures permettant d’assurer la traçabilité et le contrôle des opérations d’administration réalisées sur cette ressource

14.3.2-Lorsque l’administration d’une ressource ne peut pas techniquement être effectuée à partir d’un compte spécifique d’administration, l’opérateur met en place des mesures des mesures de réduction du risque lié à l’utilisation d’un compte non spécifique à l’administration

14.5-L’opérateur établit et tient à jour la liste des comptes d’administration de ses SIE et les gère en tant que comptes privilégiés

Règle 15 – Règle relative aux systèmes d’information d’administration

15.1-Les ressources matérielles et logicielles des systèmes d’information d’administration sont gérées et configurées par l’opérateur ou, le cas échéant, par le prestataire qu’il a mandaté pour réaliser les opérations d’administration

15.2-Les ressources matérielles et logicielles des systèmes d’information d’administration sont utilisées exclusivement pour réaliser des opérations d’administration.

15.3-Un utilisateur ne doit pas se connecter à un système d’information d’administration au moyen d’un environnement logiciel utilisé pour d’autres fonctions que des opérations d’administration

15.4-Les flux de données associés à des opérations autres que des opérations d’administration doivent, lorsqu’ils transitent sur les systèmes d’information d’administration, être cloisonnés au moyen de mécanismes de chiffrement et d’authentification conformes aux règles préconisées par l’ANSSI.

15.5-Les systèmes d’information d’administration sont connectés aux ressources à administrer au travers d’une liaison réseau physique utilisée exclusivement pour les opérations d’administration.

15.6-Ces ressources sont administrées au travers de leur interface d’administration physique.

15.7-Lorsqu’ils ne circulent pas dans le système d’information d’administration, les flux d’administration sont protégés par des mécanismes de chiffrement et d’authentification conformes aux règles préconisées par l’ANSSI

15.8-Les journaux enregistrant les événements générés par les ressources utilisées par les administrateurs ne contiennent aucun mot de passe en clair ou sous forme de condensat.

Règle 16 – Règle relative au cloisonnement

16.1-Chaque SIIV est cloisonné physiquement ou logiquement vis-à-vis des autres systèmes de l’opérateur ou des systèmes tiers. Seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité sont mises en place

16.2-Chaque SIIV est cloisonné physiquement ou logiquement vis-à-vis des systèmes tiers. Seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité sont mises en place

16.3-Lorsqu’un SIIV est lui-même constitué de sous-systèmes, ceux-ci sont cloisonnés entre eux physiquement ou logiquement. Seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité sont mises en place

16.4-L’opérateur décrit dans le dossier d’homologation de chaque SIIV les mécanismes de cloisonnement qu’il met en place.

Règle 17 – Règle relative au filtrage

17.1-L’opérateur définit les règles de filtrage des flux de données

17.2-Les flux entrants et sortants des SIIV ainsi que les flux entre sous-systèmes des SIIV sont filtrés au niveau de leurs interconnexions

17.3-L’opérateur établit et tient à jour une liste des règles de filtrage mentionnant l’ensemble des règles en vigueur ou supprimées depuis moins d’un an

17.4-L’opérateur décrit dans le dossier d’homologation de chaque SIIV les mécanismes de filtrage qu’il met en place.

Règle 18 – Règle relative aux accès à distance

18.1-L’accès de l’opérateur ou d’un prestataire au SIIV, à travers un réseau tiers, est protégé par des mécanismes de chiffrement et d’authentification conformes aux règles préconisées par l’ANSSI.

18.2-Les équipements utilisés pour accéder au SIIV, à travers un réseau tiers, sont gérés et configurés par l’opérateur ou, le cas échéant, par le prestataire mandaté.

18.3-Les mémoires de masse des équipements utilisés pour accéder au SIIV, à travers un réseau tiers, sont en permanence protégées par des mécanismes de chiffrement et d’authentification conformes aux règles préconisées par l’ANSSI

Règle 19 – Règle relative à l’installation de services et d’équipements

19.1-L’opérateur installe sur ses SIIV les seuls services et fonctionnalités qui sont indispensables au fonctionnement ou à la sécurité de ses SIIV. L’opérateur désactive les services et les fonctionnalités qui ne sont pas indispensables

19.2-L’opérateur ne connecte à ses SIIV que des équipements, matériels périphériques et supports amovibles qu’il a dûment répertoriés et qui sont indispensables au fonctionnement ou à la sécurité de ses SIIV

19.3-Les supports amovibles inscriptibles connectés aux SIIV sont utilisés exclusivement pour les besoins de ces SIIV

19.4-L’opérateur procède, avant chaque utilisation de supports amovibles, à l’analyse de leur contenu, notamment à la recherche de code malveillant.

19.5-L’opérateur met en place, sur les équipements auxquels sont connectés ces supports amovibles, des mécanismes de protection contre les risques d’exécution de code malveillant provenant de ces supports

Règle 20 – Règle relative aux indicateurs

20.1-L’OIV évalue pour chaque SIIV, les indicateurs suivants .

20.1.1-L’OIV évalue, pour chaque SIIV, des indicateurs relatifs au maintien en conditions de sécurité des ressources

20.1.1.1-Pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant

20.1.1.2-Pourcentage de serveurs dont les ressources systèmes ne sont pas installées dans une version supportée par le fournisseur ou le fabricant

20.1.1.3-Pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins quinze jours à compter de la disponibilité des versions mises à jour

20.1.1.4-Pourcentage de serveurs dont les ressources systèmes ne sont pas mises à jour ou corrigées du point de vue de la sécurité depuis au moins quinze jours à compter de la disponibilité des versions mises à jour.

20.1.2-L’OIV évalue, pour chaque SIIV, des indicateurs relatifs aux droits d’accès et à l’authentification des accès aux ressources

20.1.2.1-Pourcentage d’utilisateurs accédant au SIIV au moyen de comptes partagés

20.1.2.2-Pourcentage d’utilisateurs accédant au SIIV au moyen de comptes privilégié

20.1.2.3-Pourcentage de ressources dont les éléments secrets d’authentification ne peuvent pas être modifiés par l’opérateur

20.1.3-L’OIV évalue, pour chaque SIIV, des indicateurs relatifs à l’administration des ressources

20.1.3.1-Pourcentage de ressources administrées dont l’administration est effectuée à partir d’un compte non spécifique d’administration

20.1.3.2-Pourcentage de ressources administrées dont l’administration ne peut pas être effectuée au travers d’une liaison réseau physique ou d’une interface d’administration physique

20.1.3.3-Pourcentage de ressources administrées dont les flux d’administration ne peuvent pas être protégés par des mécanismes de chiffrement et d’authentification lorsque ces flux ne circulent pas dans le système d’information d’administration.

20.2-L’opérateur précise pour chaque indicateur la méthode d’évaluation employée et, le cas échéant, la marge d’incertitude de son évaluation

20.3-Les indicateurs ainsi réunis sont des documents confidentiels susceptibles de contenir des informations dont la révélation est réprimée par les dispositions de l’article 226-13 du code pénal. Ils sont, le cas échéant, couverts par le secret de la défense nationale.

20.4-L’opérateur communique, une fois par an, à l’Agence nationale de la sécurité des systèmes d’information, ces indicateurs mis à jour, selon le moyen approprié à la sensibilité des informations déclarées.

Procédure de la cérémonie des clés secrète

Juin 11,2020 Laisser un commentaire

1. Introduction

Dans la cryptographie, la cérémonie des clés est une séance qui encadre les modalités de génération et de conservation de secret des objets cryptographiques. Elle permet d’encadrer la génération des clés et stocker dans un coffre-fort ou dans un module cryptographique physique HSM (Hardware Security Module).

2. Objectif

La cérémonie des clés a pour objectif :

Générer la bi-clé d’une autorité de certificat (CA).
Générer les clés secrètes d’un système de chiffrement.
Eviter les cumuls de pouvoirs à une seule personne afin de distribuer aux différents porteurs un équilibre de pouvoirs dans une organisation.

3. Prérequis

Les prérequis pour effectuer la cérémonie des clés sont :

Identification du partage de secret M parmi N (M of N) ;
Désignation des porteurs des parts secrets M au N porteurs ;
Signature d’un procès-verbal par l’ensemble des participants pour signifier la séance ;

4. Déroulement

4.1 Initialisation de la cérémonie

Le déroulement de la cérémonie se passe en deux parties.

4.1.1 Vérification les conditions

1ere partie,

La présence de porteurs et leurs identités.
La disponibilité des fournitures (Enveloppe, Carte à puce, Ordinateur, HSM, etc.).
La disponibilité des conditions de sécurité pour effectuer la cérémonie (Salle fermée, l’isolement, le minimum nécessaire matériels et environnement pour faire la cérémonie…).
La présentation les étapes de cérémonie.
Distribution des secrets aux différents membres de la cérémonie.

4.1.2 Réalisation de cérémonie

2eme partie,

Nous rentrons dans le vif du sujet, c’est-à-dire la réalisation de cérémonie des clés. Cette étape est plus technique et se déroule en général devant le HSM.

Le maître de cérémonie réalise des opérations avec l’aide d’un ingénieur système et appelle les porteurs de secrets un par un.
Les différents porteurs et les témoins devront vérifier l’application des instructions inscrites dans le procès-verbal.
Avec l’aide de l’ingénieur système, le maître de cérémonie, effectue l’initialisation du HSM et les secrets associés (Carte à puce, mot de passe, etc.).
Avec l’aide de l’ingénieur système, le maître de cérémonie lance la création des objets cryptographique à protéger par les secrets partagés.
Puis effectuer une sauvegarde qui sera chiffrée par les secrets partagés.
Enfin, tester la restauration de sauvegarde en supprimant les objets du HSM, puis effectuer la restauration à partir de la sauvegarde pour être certain que la sauvegarde s’est bien passée.

5. Clôture de la cérémonie

Après initialisation du HSM, la création des secrets partagés, et les objets cryptographiques, un recensement des secrets est effectué.

Les porteurs insèrent les secrets dans les enveloppes respectives indiquées dans le procès-verbal et les scelles devant tous les participants.

Ensuite, les participants procèdent à la signature du procès-verbal après l’inscription les éventuels incidents survenus durant la cérémonie.

6. Conclusion

La cérémonie des clés est une séance pour la mise en place de la cryptographie. La séance est à effectuer dans les objectifs cités plus haut. Elle est organisée dans cet objectif précis, lorsque tout est en place, la séance n’est plus nécessaire.

Le réseau au norme 802.1x

Avr 13,2020 Laisser un commentaire

1. Introduction

La norme 802.1x définit le réseau à accès contrôlé. Ceci est très utilisé dans le lieu public tel que les Hotspots des Aéroports, les restaurants, les gares, les hotels, etc…

L’infrastructure 802.1x permet à la fois sécuriser et aussi contrôler les accès aux services proposés. On peut alors tracer des accès, identifier l’utilisateur du service et enfin définir les services proposés par avance.

Cette infrastructure, fonctionne aussi bien avec le réseau sans fil que filaire.

2. Caractéristique du 802.1x

Pour créer une infrastructure 802.1x, nous avons besoins de mettre en place les composants ci-dessous pour former une architecture d’un réseau à accès contrôlé.

2.1 Les composants 802.1x

Serveur AAA : Authentication, Authorization, Accounting (Authentification, Autorisation et Traçabilité). Serveur AAA est un serveur qui offre les services d’authentification, d’autorisation et de traçabilité des évènements.
Le Client : élément de confiance d’un réseau 802.1X servant de point d’accès au réseau (commutateur, point d’accès Wi-Fi…). Cet élément est appelé authenticator dans la norme 802.1X.
Supplicant : logiciel sur l’équipement d’extrémité cherchant à se connecter à un réseau à accès contrôlé, afin de fournir une connectivité Ethernet à l’équipement d’extrémité.
EAP : Extended Authentication Protocol, protocole réseau permettant d’abstraire le mécanisme d’authentification spécifique utilisable.
EAPoL : Extended Authentication Protocol over LAN, protocole d’encapsulation de trames EAP sur des réseaux locaux. C’est un protocole qui repose sur Ethernet et qui dispose de son propre Ethertype 2 0x888E.
Réseau à accès contrôlé : réseau dont l’accès doit être protégé par des mécanismes AAA.
Réseau de confiance : réseau maîtrisé dans lequel le serveur et les clients communiquent.

2.2 Fonctionnement

Le schéma ci-dessus montre que nous avons deux zones du réseau à accès contrôlé et du réseau de confiance. Les deux réseaux s’interconnectent via un système de routage L3 utilisant deux LAN différents séparés physiquement ou différent VLAN.

Dans sa granularité, lorsqu’un utilisateur a besoin d’un accès aux services qui présentent sur le réseau de confiance, il connecte le supplicant au réseau à accès contrôlé, ceci se dirige le flux vers le serveur AAA en ouvrant le canal de communication auquel passe via le routeur qui sépare les deux réseaux. Via le processus d’authentification, si le supplicant est identifié, l’accès sera autorisé, sinon l’accès sera refusé. Voilà, c’est tout simple !

2.3 Le réseau de confiance

Par définition, c’est un réseau considéré comme sûr, Il transporte les informations d’authentification et d’autorisation des équipements finaux et les différentes données de journalisation remontées par les clients au serveur. Les clients d’un réseau 802.1X sont des équipements tels que des commutateurs (switchs) ou des points d’accès Wi-Fi qui fournissent une connectivité au réseau à accès contrôlé à l’aide de ports de connexion. Ils sont connectés au réseau de confiance, pour accéder aux services. Les ports de connexion peuvent se trouver dans deux états :

Dans l’état autorisé, un port accepte tout trafic en provenance et à destination du supplicant connecté, notamment le trafic IP ;
Dans l’état non autorisé, seul le trafic EAPoL est autorisé entre le client et le supplicant.

Par défaut, ils sont dans l’état non autorisé et leur changement d’état est commandé par le serveur après authentification et autorisation d’un supplicant. Durant cette phase d’authentification, les clients réalisent une rupture protocolaire entre le supplicant et le serveur. En effet, la communication avec les supplicants s’effectue au moyen du protocole EAPoL alors qu’elle s’effectue à l’aide du protocole du réseau de confiance entre les clients et le serveur (RADIUS sur IP dans la plupart des cas). La connectivité Ethernet des supplicants est donc inexistante avant leur autorisation d’accès au réseau à accès contrôlé.

2.4 Le réseau à accès contrôlé

Le réseau à accès contrôlé est le réseau dont les accès doivent être maîtrisés. Il est connecté aux différents clients et aux supplicants. Le terme réseau à accès contrôlé désigne par extension l’ensemble des réseaux utilisateurs (physiques ou virtuels) dont l’accès doit être contrôlé centralement.

2.5 Supplicants

Les supplicants cherchent à se connecter au réseau à accès contrôlé au travers des ports de connexion offerts par les clients. L’accès à ce réseau est autorisé ou refusé après une phase d’authentification et d’autorisation dans laquelle les trois équipements (supplicant, clients et serveur AAA) interagissent. Une fois leur accès au réseau autorisé, les supplicants sont connectés au réseau à accès contrôlé.

3. Synoptique de connexion

La connexion à un réseau à accès contrôlé s’effectue en quatre étapes.

Initialisation : le client détecte la tentative de connexion du supplicant à un port dont l’accès est contrôlé, il active le port en mode non autorisé.

Identification :

Le client transmet au supplicant une demande d’identification (trame EAP-Request/Identity) ;
Le supplicant retourne au client son identité (trame EAP-Response/Identity) ;
Le client transmet l’identité du supplicant au serveur (paquet Access-Request).

Négociation EAP :

Le serveur envoie au client un paquet contenant la méthode d’authentification demandée au supplicant (paquet Access-Challenge) ;
Le client transmet la demande du serveur au supplicant au travers d’une trame EAP-Request ;
Si le supplicant accepte cette méthode, il procède à l’étape d’authentification au moyen de celle-ci, sinon il renvoie au client les méthodes qu’il supporte et l’étape de négociation recommence.

Authentification :

Le serveur et le supplicant échangent des messages EAP-Request et EAP-Response par l’intermédiaire du client suivant la méthode d’authentification choisie,
Le serveur fournit une réponse Access-Accept ou Access-Reject suivant le résultat de l’authentification et de l’autorisation du supplicant :
- Si la réponse est Access-Accept, le client bascule le port de connexion dans l’état autorisé, le supplicant dispose ainsi d’une connectivité Ethernet au réseau à accès contrôlé,
- Si la réponse est Access-Reject, le port reste dans l’état non autorisé et le supplicant ne dispose d’aucun accès réseau hormis au travers du protocole EAP. À la fin de la connexion (déconnexion logicielle entraînant un message EAP dédié ou changement de statut du lien physique), le client modifie l’état du port à non autorisé.

4. Protocole de communication

Pour contacter le serveur AAA, les supplicants utilisent le protocole EAP. Ce protocole d’authentification extensible définit plusieurs méthodes d’authentification possédant différents niveaux de sécurité.

4.1 EAP-MD5

Le supplicant authentifie par défi-réponse EAP et sur la fonction de hachage MD5. Cette méthode offre un faible niveau de sécurité, car cette méthode est vulnérable à des attaques par dictionnaires et de l’homme du milieu. De plus, elle ne permet pas d’authentifier le serveur et ne peut pas être utilisée dans des réseaux sans fil par l’absence de négociation des clés cryptographiques durant l’authentification.

4.2 EAP-MSCHAPv2

Authentification mutuelle des correspondants qui repose sur un mot de passe et des défis cryptographiques. Cette méthode offre un niveau de sécurité faible, elle est vulnérable à des attaques par dictionnaires et sa résistance est équivalente à celle d’une clé DES.

4.3 EAP-TLS

EAP-TLS est un protocole d’authentification mutuelle du supplicant et du serveur par certificats. Cette authentification est réalisée à l’aide de TLS. Cette méthode nécessite que le serveur et chaque supplicant possèdent un certificat. Elle impose donc l’utilisation d’une infrastructure de gestion de clés (PKI) dans le système d’information. Ce protocole d’authentification est considéré comme sûr. Il expose cependant l’identité du supplicant durant la connexion, au travers du Common Name du certificat ou du champ Identity de la réponse EAP. Suivant le scénario de déploiement envisagé, cette information peut être considérée comme sensible. L’implémentation de cette fonctionnalité est cependant optionnelle et elle reste peu implémentée dans les serveurs et les supplicants existants.

4.4 EAP-PEAP

Ce protocole d’authentification est souvent dénommé PEAP dans la littérature. Initialement créé et défini par Microsoft, ses spécifications sont disponibles en accès libre sur le site de l’éditeur. Le protocole PEAP propose plusieurs versions et évolution.

Le protocole PEAP fonctionne en deux phases. Durant la première phase, le serveur s’authentifie auprès du supplicant au moyen d’un certificat pour créer un tunnel TLS entre les deux parties. Il procède ensuite à l’authentification du supplicant dans le tunnel TLS au moyen d’une méthode EAP appelée méthode interne. Les échanges réalisés par cette méthode interne sont protégés par le tunnel TLS établi. Cette construction permet l’utilisation de protocoles reposant sur les mots de passe pour l’authentification des supplicants. La méthode d’authentification interne la plus couramment utilisée est la méthode EAP-MSCHAPv2 et dans ce cas, le protocole est appelé PEAP-MSCHAPv2. PEAP peut également utiliser d’autres méthodes internes comme EAP-TLS pour authentifier les supplicants. Le protocole PEAP requiert uniquement un certificat serveur, l’utilisation de certificats clients est optionnelle et dépend de la méthode interne choisie. La mise en œuvre de ce protocole permet d’atteindre un niveau de sécurité correct, sous réserve d’appliquer les recommandations détaillées de ce document.

4.5 EAP-TTLSv0

Le protocole EAP-TTLSv0, aussi appelé EAP-TTLS, est un protocole d’authentification en deux phases, dont le fonctionnement est similaire au protocole PEAP. Ces protocoles restent cependant différents et incompatibles. Durant la première phase, le supplicant authentifie le serveur au moyen d’un certificat afin de créer un tunnel TLS entre les deux parties. L’authentification du supplicant s’effectue durant la seconde phase, à l’intérieur du tunnel TLS précédemment créé et à l’aide d’une méthode d’authentification interne (inner method). Cette méthode peut être une méthode EAP (EAP-MD5 par exemple) ou non EAP comme MSCHAPv2. Dans la majorité des déploiements, les méthodes internes utilisées sont PAP, EAP-MD5, EAP-MSCHAPv2 ou MSCHAPv2. Le protocole EAP-TTLSv0 présente plusieurs avantages :

L’identité du supplicant est masquée durant la phase d’authentification ;
Plusieurs méthodes internes peuvent être utilisées, sachant qu’elles sont souvent déjà mises en place dans un système d’information ;
Il requiert uniquement un certificat serveur, l’utilisation de certificats clients n’est pas obligatoire. L’utilisation de ce protocole permet d’atteindre un niveau de sécurité correct sous certaines conditions de déploiement.

5. Limite du 802.1x

La mise en place d’un réseau 802.1X apporte plusieurs fonctions de sécurité, dont une traçabilité précise des accès réseau effectués. Les messages de journalisation permettent par exemple d’identifier précisément les modifications de branchements d’équipements et les violations de politiques de sécurité. Cependant elle ne permet pas de protéger le système d’information contre toutes les menaces envisageables.

Les attaques de Ransomware

Mar 24,2020 Laisser un commentaire

1. Comment se protéger contre les ransomwares

Le ransomware est la deuxième attaque de malware la plus fréquente derrière les attaques d’exfiltration. Le courrier électronique reste le principal mécanisme de livraison pour tous les logiciels malveillants, y compris les ransomwares.

Alors, comment pouvons nous empêcher les utilisateurs de cliquer sur les liens ?

Conseil des professionnels : Vous ne pouvez pas, les humains feront des choses humaines. Nous devons donc aborder le problème des ransomwares différemment. Dans cet article, nous aborderons les bases des ransomwares et expliquerons comment un système de détection et de prévention automatisé est la solution à prendre pour empêcher les attaques de ransomwares de détruire votre système d’information.

1.1. Conseils de base

Pour construire une défense contre les attaques rançongiciels, il y a des choses que les entreprises peuvent faire pour prévenir l’infection. Tout d’abord, il faut sensibiliser les utilisateurs de ce fléau « Surtout ne cliquez pas sur le lien ! » dans les emails des expéditeurs inconnus.

Je sais, je sais, vous en avez déjà entendu parler. Mais cela vaut toujours la peine d’être répété. Les e-mails phishing ont généré un pourcentage important de logiciels malveillants en 2019. Les humains ne vont pas arrêter de cliquer sur le lien, et je le sais parce que moi aussi, j’ai cliqué sur le lien. Ainsi, en tant qu’humains mortels faillibles, nous pouvons au moins être un peu plus sceptiques vis-à-vis des e-mails. Et peut-être que ce petit scepticisme fait baisser la quantité de logiciels malveillants que nous permettons d’infecter nos entreprises.

1.2 Créer des règles de protections

Créer les règles de protections sur la messagerie et utiliser des protections Endpoint tels que les antivirus, anti-Malwares, pare-feu locaux, IPS hôte, etc.

Nous savons que les humains cliqueront sur le lien et les pirates aussi. C’est pour cela que les ransomware continuent à exister.

Analysez tous les e-mails à la recherche de souches de logiciels malveillants connues et maintenez les pares-feux et les protections des terminaux à jour avec les dernières signatures de logiciels malveillants connus.
Faites la campagne de sensibilisation à vos utilisateurs sur les e-mails provient des expéditeurs inconnus.
Fournir des VPN pour les utilisateurs à utiliser en dehors du réseau
Conserver les sauvegardes
Tant pour les entreprises que pour la protection personnelle, conservez les sauvegardes actuelles de vos données importantes. Le moyen le plus rapide et le plus efficace pour contrer les ransomwares est de faire un snapshot du disque, puis une restauration des données à partir de la dernière bonne sauvegarde à moins que les attaques n’exfiltrent également les données, ce qui est un problème différent.

1.3. Protégez vos informations personnelles

Les humains sont génétiquement prédisposés à faire confiance aux autres humains. C’est l’une des raisons évolutives de vaste prolifération de notre espèce. Cette confiance fondamentale est de savoir comment les mentalistes peuvent nous faire croire que c’était notre idée de faire un certain choix, d’où comment les attaquants révèlent nos mots de passe ou les noms de jeune fille de la mère.

Encore une fois, soyez sceptique et suivez le protocole lorsque quelqu’un vous demande des informations sensibles. C’est le même problème que les liens, mais cela peut être une interaction réelle en personne. Ces conseils sont doublés pour les utilisateurs dans un domaine sensible, qui sont souvent les cibles des campagnes de phishing.

1.4 Qui expose au risque ?

Techniquement, tout le monde court le risque d’une attaque de ransomware. Sur le plan économique, les attaques les plus sophistiquées semblent viser les grandes organisations ayant une plus grande capacité de paiement. Mais toutes les attaques de ransomwares ne sont pas non plus ciblées que les grandes organisations. Certains attaquants utilisent des techniques de carpet-bombing et tentent d’infecter autant d’utilisateurs que possible à la fois.

En fin de compte, les ransomwares représentent un réel risque pour les utilisateurs et les organisations.

2. Comment résoudre à une attaque de ransomware

Suivez ces étapes pour gérer et atténuer une attaque de ransomware active.

2.1 Isolement

La première étape de la gestion d’une infection de ransomware consiste à isoler les systèmes infectés du reste du réseau. Arrêtez ces systèmes et retirez le câble réseau. Éteignez le WIFI. Les systèmes infectés doivent être complètement isolés des autres ordinateurs et périphériques de stockage du réseau.

2.2 Identification

Ensuite, déterminez quel type de malware a infecté les ordinateurs. L’équipe de support aux incidents, ou un consultant externe sera en mesure de déterminer la souche du ransomware et de commencer à planifier la meilleure façon de faire face à l’infection.

2.3 Impliquer les autorités

Selon l’impact de l’incident et les réglementations applicables, il peut être nécessaire de signaler l’incident à la Police ou à d’autres organismes gouvernementaux. En France, l’organisme le plus apte sur la cyberdéfense est la CSIRT (CERT pour les Anglophone) qui comptabilise des rapports sur les ransomwares pour aider à augmenter leurs capacités et leur compréhension sur ces attaques.

2.4 Supprimez le logiciel malveillant

Supprimez maintenant le malware sur les systèmes infectés pour éviter d’autres dommages ou propagation du malware.

2.5 Récupérer des données

Une fois l’attaque du logiciel malveillant contenue, démarrez le processus de récupération après l’attaque. Payer la rançon est une option, peut-être que les attaquants sont des voleurs honorables et vous donneront les clés dont vous avez besoin pour décrypter les données. La meilleure option consiste à restaurer à partir de la sauvegarde la plus récente disponible. En supposant qu’il existe une bonne sauvegarde disponible.

3. Devriez-vous payer le ransomware ?

Non. Dans la plupart des cas, vous ne devriez pas payer la rançon. Pour moi, la prévention des ransomwares en priorité est la sauvegarde de vos données qui permet d’empêcher et protéger les données contre les ransomwares. Donc payer la rançon n’est jamais une bonne option.

Cependant, c’est un problème beaucoup plus compliqué que cela, surtout si vous lisez cet article après coup.

Existe-t-il une cyberassurance pour les attaques de ransomwares ?
Peut-on acheter des bitcoins pour payer la rançon à temps ?
Existe-t-il des sauvegardes pour les systèmes attaqués ?
Les données sont-elles même essentielles à la mission ?

Ce sont là quelques questions que les organisations peuvent avoir à poser et à répondre lorsqu’elles envisagent de payer la rançon ou non.

3.1 Avant d’envisager des paiements

Voici quelques éléments à considérer avant de prendre la décision de payer ou pas.

Vérifiez votre police d’assurance cyberassurance.

La cyberassurance est une invention relativement nouvelle qui peut aider à couvrir les coûts de gestion d’une violation de données ou d’un incident de cybersécurité similaire.

La cyberassurance peut aider à gérer et à couvrir des coûts tels que :

Notification des clients et des parties concernées en cas de violation de données
Restaurer les identités et indemniser les parties concernées
Récupération de données compromises
Reconstruction de systèmes informatiques
Coopérer avec les forces de l’ordre

Les autorités n’encouragent officiellement pas de paiement d’une rançon. Cependant, cela ne signifie pas que si vous vous adressez aux forces de l’ordre, ils vous recommanderont de ne pas payer. Si les forces de l’ordre s’impliquent, elles disposeront de l’expertise et des connaissances qui les aideront à prendre ces décisions, donc, le cas échéant, faites-les participer.

Par exemple, ils peuvent dire si l’attaque provient d’un groupe qu’ils connaissent déjà, ce qui apporte les connaissances et l’expérience préalables à cet incident.

De plus, les autorités peuvent s’assurer que vous ne payez pas par inadvertance un terroriste si vous payez la rançon. Rembourser des organisations terroristes connues peut être illégal, et personne n’en a besoin dans sa conscience.

3.2 Recherchez un outil de décryptage

Allez en ligne pour voir si un outil de décryptage existe. Si les clés de cette attaque existent déjà, il n’est pas nécessaire de payer. Parfois, lorsque la police et les experts en sécurité enquêtent sur une activité cybercriminelle, ils peuvent potentiellement obtenir des clés de déchiffrement de serveurs malveillants et les partager en ligne. En voici quelques-uns :

CoinVault
TeslaCrypt
CryptoLocker

3.3 Quand devriez-vous envisager de payer

Si vous payez, la plupart des paiements de ransomware se situent généralement entre 200 $ et 10 000 $.

Les spécialistes de la cybercriminalité ont déclaré « Pour être honnête, nous conseillons souvent aux gens de ne payer que la rançon. » la raison c’est, « Le succès du logiciel de rançon finit par profiter aux victimes, parce que tant de gens paient, les auteurs de logiciels malveillants sont moins enclins à arracher des bénéfices aux victimes, ce qui maintient les rançons à un niveau revenu bas. Et la plupart des escrocs de rançongiciels vont abandonner cette manière de la cybercriminalité ou ils vont devenir respectueux à leur parole. Et là, nous gagnerons la bataille contre ce genre d’escroquerie.

Il y a des moments où payer est la bonne décision. Il s’agissait en fait de choisir entre perdre toutes ces données et être incapable de fournir les services essentiels à votre organisation ou plutôt de dépenser pour une survie de l’entreprise.

C’est pour cela, la sauvegarde de vos données importantes est essentielle.

Ransomware Ressources

Qu’est-ce que Ransomware ?

Mar 23,2020 Laisser un commentaire

1. Introduction

Cet article, j’explique à quoi cela consiste un Ransomware, par quelle façon attaque-t-il à vos données, comment réagit-il une fois infecté et quels sont actions à faire lorsqu’on est infecté.

Les sujets que je vais développer dans cet article.

Comment fonctionne le ransomware ?
Qui est à risque ?
Types de rançongiciels ?
Exemples de ransomwares ?

Sur le deuxième volet, je développerai comment protéger contre le Ransomware.

Protéger contre les Ransomwares ?
Comment répondre ?
Devriez-vous payer ?
Méthodes d’atténuation pour les administrateurs informatiques ?
Ressources supplémentaires ?

2. Qu’est-ce que Ransomware ?

Le ransomware est un malware qui crypte les données de la victime cible. L’attaquant tente alors de faire payer à la victime la rançon de la clé pour décrypter ses fichiers.

Le premier ransomware remonte à 1989, a été distribué sur disquettes et a demandé une rançon de 189 $.

En 2019, la ville de Baltimore a été frappée par une attaque de ransomware, qui a coûté environ 18 millions de dollars en récupération.

2.1 Comment fonctionne le ransomware ?

Le ransomware est une attaque en plusieurs étapes que les attaquants ont empaquetée de plusieurs manières différentes. Les bases sont généralement les mêmes. Infiltrez le réseau de la cible, cryptez autant de données que possible, extorquez la rançon.

3. Processus de ransomwares

3.1 Mode d’infection

Tout d’abord, les attaquants doivent fournir la charge du malware à sa cible. Le plus souvent, il s’agit d’une simple envoie d’un email avec un logiciel malveillant dans la pièce jointe ou un lien dans le corp de son email. Dès que la victime clique sur le lien ou charger le logiciel, le ransomware fonctionne localement ou essaie de se répliquer sur d’autres ordinateurs du réseau.

3.2 Échange de clés de sécurité

Ensuite, le malware atteint les attaquants pour leur faire savoir qu’ils ont infecté une victime et obtenir les clés cryptographiques dont le ransomware a besoin pour crypter les données de la victime.

3.3 Cryptage

Désormais, le ransomware effectue le cryptage des fichiers de la victime. Il peut commencer par le disque local, puis essayer de sonder le réseau pour les partages mappés ou les partages ouverts à attaquer. Le ransomware CryptoWall a supprimé les fichiers Volume Shadow Copy pour rendre la restauration à partir de la sauvegarde plus difficile et a cherché des portefeuilles BitCoin à voler.

WannaCry a utilisé la vulnérabilité EternalBlue pour se propager à d’autres ordinateurs, puis effectuer le chiffrement.

3.4 Extorsion

La victime s’est totalement approprié, et l’attaquant envoie la note de rançon. Habituellement, il y a un chiffre en dollars attaché, et un lien BitCoin avec des messages menaçants comme « payez-nous ou perdez vos données ».

Il faut noter que la crypto-monnaie a permis aux ransomwares de devenir une profession lucrative. Le caractère lucratif de l’activité criminelle est désormais difficile à quantifier, mais la fréquence des attaques indique que les criminels voient l’avantage de continuer à utiliser ces techniques.

Récemment, les attaquants ont utilisé la menace d’exposition aux données dans le cadre de leur complot d’extorsion. Le ransomware peut non seulement crypter les données en place, mais il peut également exfiltrer les données vers les attaquants ! La menace devient, « payez-nous où nous publions vos données. »

3.5 Déverrouillage et récupération

Enfin, la victime paie-t-elle la rançon et espère-t-elle que le criminel soit honorable et enverra les clés de décryptage ? Ou la victime supprime-t-elle l’infection par un logiciel malveillant et essaie-t-elle de récupérer manuellement les données chiffrées.

Les attaquants ne remettent généralement pas les clés, même après avoir pris l’argent. Choquant, je sais. C’est pourquoi, les autorités ont conseillé de ne pas payer les rançons. Le personnel informatique devra disposer des sauvegardes à jour et fonctionnelle, et devra donc restaurer les données qu’il pouvait et reconstruire complètement les machines qu’il ne pouvait pas.

Le plan de récupération doit également tenir compte de la menace de divulgation de données. Mais comment pouvez-vous empêcher un attaquant de divulguer les données volées ? Tu ne peux pas. Ce qui rend la protection et la prévention des ransomwares beaucoup plus importantes que le recours aux sauvegardes de données pour la récupération.

4. Qui est à risque ?

Techniquement, tout le monde court le risque d’une attaque de ransomware. Sur le plan économique, les attaques les plus sophistiquées semblent viser les grandes organisations ayant une plus grande capacité de paiement. Mais toutes les attaques de ransomwares ne sont pas ciblées que les grandes organisations non plus. Certains attaquants utilisent des techniques de carpet-bombing et tentent d’infecter autant d’utilisateurs que possible à la fois.

En fin de compte, les ransomwares représentent un réel risque pour les utilisateurs et les organisations.

5. 7 vecteurs indispensables de ransomwares

Les attaquants développent constamment de nouveaux types de ransomwares qui utilisent divers vecteurs d’attaque comme la malvertisation, le ransomworm et les programmes de transfert de fichiers peer-to-peer.

Les attaques de ransomwares n’ont pas besoin d’être sophistiquées pour être efficaces. WannaCry et NotPetya ont utilisé une vulnérabilité bien connue pour se propager, et ils étaient super efficaces.

Et maintenant, il y a même Ransomware-as-a-Service, où les pirates vendent leurs logiciels malveillants à d’autres cybercriminels, augmentant la fréquence et la portée des ransomwares. Les auteurs de ransomwares peuvent inviter n’importe qui à s’inscrire, et les deux parties gagneraient un pourcentage des bénéfices.

D’autres types de ransomwares et quelques détails sur leur fonctionnement.

5.1 Chiffrement

La première catégorie de ransomware et la plus courante est le ransomware de cryptage. CryptoLocker et CryptoWall ont la réputation d’être un rançongiciel puissant à cryptage. Le cryptage est le processus de codage des données, il est donc illisible sans la clé appropriée. Et pour décrypter les données, vous aurez besoin de clés. Il existe deux types de clés : symétrique et publique.

5.2 Symétrique

Advanced Encryption Standard (AES), Rivest Cipher 4 (RC4) et Data Standard Encryption Standard (DES) sont des exemples d’un algorithme à clé symétrique. Avec le chiffrement à clé symétrique, la même clé est utilisée pour le chiffrement et le déchiffrement. Elle n’est efficace que lorsque la clé symétrique est gardée secrète par les deux parties concernées.

5.3 Asymétrique

Rivest, Shamir et Adleman utilisent deux clés différentes dans leur célèbre algorithme RSA. Une clé publique accessible à tous et une clé privée contrôlée par la personne avec laquelle vous souhaitez communiquer.

5.4 Briser un cryptage

Craquage par brute de force, c’est essayer toutes les combinaisons possibles de nombres pour trouver la bonne clé. Un algorithme à clé symétrique prend quelques heures pour une petite clé de 20 bits à des millions d’années pour une clé de 128 bits.

Les clés publiques et symétriques peuvent théoriquement être cassées par brute de force, mais ce n’est pas quelque chose de si simple. Le chiffrement moderne est tout simplement trop compliqué pour que même les ordinateurs les plus rapides puissent se casser.

En bref, les chances de décrypter par force les fichiers touchés par une attaque de ransomware est mince et quasi nul.

5.5 Effacement

Les attaquants menacent : toute tentative de décrypter des fichiers entraînerait uniquement à une perte irrévocable de vos données ou si vous ne payez pas, les fichiers sont supprimés. Les exemples populaires de suppression incluent Gpcode et FileCoder.

Astuce de pro : si vos fichiers sont « supprimés » par un ransomware, ils peuvent ne pas être réellement écrasés sur le disque. Il est préférable de restaurer à partir de la sauvegarde, bien sûr, mais si vous n’avez pas de sauvegarde et que vous devez récupérer vos fichiers, vous pourrez peut-être récupérer les données du disque avec un utilitaire spécialisé.

5.6 Verrouillage

Les attaquants ont également créé de nouveaux écrans de connexion ou des pages HTML qui tentent de vous faire croire que les flics sont après vous, et vous devez payer une amende ou une autre arnaque. Ils pourraient même désactiver les raccourcis clavier pour rendre l’écran difficile à éliminer. Les exemples dans Winlock et Urausy.

Astuce de pro : tout ce qui apparaît sur votre ordinateur et vous demande de l’argent est une arnaque.

5.7 Mobile Ransomware

Comme les ransomwares fonctionnent si bien sur les PC, les attaquants ont construit des ransomwares pour attaquer les plateformes mobiles. Il s’agit principalement de la variété de verrouillage, car le cryptage d’un appareil mobile que vous sauvegardez tout le temps est plutôt inutile.

6. Exemples de ransomwares

Voici quelques-unes des souches de ransomwares les plus intéressantes.

CryptoLocker	L’une des souches de ransomware les plus anciennes et les plus importantes. Parmi les premiers à exiger un paiement via Bitcoin. Il se distingue par son bon « service client » et le fait qu’il a effectivement déchiffré vos fichiers.
Petya/NotPetya	Il affecte les processus de démarrage, empêchant les utilisateurs de se connecter. Il s’est propagé par une vulnérabilité dans un système de comptabilité en ligne utilisé par les entreprises d’Europe de l’Est.
PUBG	PUBG (Players Unknown’s Battlegrounds) est un jeu en ligne très populaire. Un partisan très enthousiaste a enlevé rançongiciels et a rendu le déverrouillage du jeu dépendant de la clé en jouant gratuitement une heure de jeu.

Le routage des réseaux

Mar 21,2020 Laisser un commentaire

1. Introduction

Le routage est le mécanisme pour acheminer les données d’un expéditeur jusqu’à un ou plusieurs destinataires. Le routage est une tâche exécutée dans de nombreux réseaux, tels que le réseau téléphonique, les réseaux de données comme Internet, et les réseaux de transports.

2. Le concept de routage

Pour effectuer le routage, on considère deux types de machines ou composants du réseau : les routeurs, qui servent d’intermédiaire dans la transmission d’un message, et les hôtes qui émettent ou reçoivent les messages. Lorsque le routeur se trouve entre deux réseaux dépendant d’autorités différentes, comme entre le réseau local d’une entreprise et l’Internet, on utilise alors une passerelle ; cet élément peut être considéré comme plus évolué qu’un simple routeur en raison de la conversion entre protocoles effectuée.

2.1. Exemple des composants réseaux

Le routage est un processus décentralisé, c’est-à-dire que chaque routeur possède des informations sur son voisinage. Chaque routeur maintient une liste des réseaux connus, chacun de ces réseaux étant associé à un ou plusieurs routeurs voisins à qui le message peut être passé. Cette liste s’appelle la table de routage, et contient trois types de routes :

Les routes correspondant à des réseaux directement connectés : pour ces réseaux, le routeur peut acheminer le paquet directement à la destination finale en faisant appel au protocole de niveau 2 (Ethernet par exemple).
Les routes statiques, configurées en dur sur le routeur par l’administrateur du réseau,
Les routes dynamiques, apprises d’un protocole de routage dynamique dont le rôle est de diffuser les informations concernant les réseaux disponibles.

Une table de routage peut être réduite à sa plus simple expression en ne comportant que la liste des réseaux directement connectés ainsi qu’une route par défaut, c’est-à-dire que tous les paquets qui ne correspondent pas à un réseau connu dans la table de routage seront dirigés vers un routeur déterminé (le routeur par défaut). La route par défaut peut être statique ou bien apprise dynamiquement. À l’inverse, un routeur qui ne dispose pas de route par défaut doit connaître toutes les destinations possibles. C’est le cas des routeurs participant à la dorsale d’Internet, on dit alors qu’ils disposent d’une table de routage complète (ce qui représentait plus de 360 000 réseaux individuels en 2011) ou qu’ils appartiennent à la default-free zone d’Internet.

Pour permettre à ce que les routeurs aient une idée de la topologie du réseau, et puissent ainsi employer des algorithmes de routage efficaces, il faut que les routeurs diffusent leurs informations. Cette diffusion s’effectue par le biais des protocoles de routage, spécifiant la façon dont les informations sont échangées entre les routeurs.

3. Protocoles de routages

Les protocoles de routages externe (EGP), tels que Border Gateway Protocol (BGP), échangent des informations de routage entre systèmes autonomes. Les protocoles de routage interne (IGP), échangent des informations de routage à l’intérieur d’un système autonome, par une des façons suivantes :

Dits à états de lien, ils transmettent la totalité des informations de routage à tous les routeurs participants et établissent des tables de voisins directs, c’est le cas d’OSPF ou d’IS-IS, dits à vecteur de distance, qui ne diffusent que leurs meilleures routes sur leurs interfaces, comme RIP ou IGRP Ou encore un hybride des deux premiers, comme EIGRP.

Exemples de protocoles de routage interne :

Routing Information Protocol (RIP)
Interior Gateway Routing Protocol (IGRP)
Open Shortest Path First (OSPF)
Integrated Intermediate System to Intermediate System (Integrated IS-IS)
Enhanced Interior Gateway Routing Protocol (EIGRP)

4. Protocole TCP/IP

En plus des protocoles de routage réserver pour les routeurs, il y a aussi le protocole qu’on connait tous, c’est le TCP/IP.

Mais ce protocole fonctionnera en dépend de son type de communications, de sa classification réseau avec son masque de sous réseau qui formeront un sous réseau de type LAN/WAN etc…

4.1. Les types de communications TCP/IP

En fonction du nombre de destinataires et de la manière de délivrer le message, on distingue :

unicast : consiste à acheminer les données vers une seule destination déterminée,
broadcast : consiste à diffuser les données à toutes les machines,
multicast : consiste à délivrer le message à l’ensemble des machines manifestant un intérêt pour un groupe,
anycast : consiste à délivrer les données à n’importe quel membre d’un groupe, mais généralement le plus proche, au sein du réseau.

Protocole Internet TCP/IP

Mar 21,2020 Laisser un commentaire

1. Introduction

Le protocole internet permet une facilité de communication sans faire directement partie du sujet de la communication elle-même.

C’est un ensemble de règles qui régissent les échanges de données ou le comportement collectif de processus ou d’ordinateurs en réseaux ou d’objets connectés, un protocole de communication est un ensemble de contraintes permettant d’établir une communication entre deux entités : Internet Protocol, Suite des protocoles Internet, Protocole réseau par exemple.

2. Protocole IP

Le protocole IP signifie Internet Protocol, c’est le protocole le plus répandu dans le monde. Il permet de découper l’information à transmettre en paquets, il transporte les uns après les autres vers la destination demandée. C’est la technique de commutation des paquets. Il apporte de l’adressage sur la couche 3 (réseau) du modèle OSI.

C’est le protocole de communication de réseaux informatiques conçus pour être utilisés sur Internet. Les protocoles IP s’intègrent dans la suite des protocoles Internet et permettent un service d’adressage unique pour l’ensemble des terminaux connectés.

Les protocoles IP sont considérés comme « non fiables ». Cela ne signifie pas qu’ils n’envoient pas correctement les données sur le réseau, mais qu’ils n’offrent aucune garantie pour les paquets envoyés concernant les points suivants :

Corruption de données.
Ordre d’arrivée des paquets (un paquet A peut être envoyé avant un paquet B, mais le paquet B peut arriver avant le paquet A)
Perte ou destruction de paquets
Duplication des paquets

En termes de fiabilité, le seul service offert par un protocole IP est de s’assurer que les en-têtes de paquets transmis ne comportent pas d’erreurs grâce à l’utilisation de somme de contrôle (checksum). Si l’en-tête d’un paquet comprend une erreur, sa somme de contrôle ne sera pas valide et le paquet sera détruit sans être transmis.

En cas de destruction d’un paquet, aucune notification n’est envoyée à l’expéditeur (encore qu’un paquet ICMP puisse être envoyé).

3. Protocole TCP (Transmission Control Protocol) RFC793

Le protocole TCP signifie Transmission Control Protocol, basé sur la couche 4 du modèle OSI, permet d’ouvrir une session et faire le contrôle d’erreur en mode connecté. Grâce à ce protocole, la transmission de l’information est plus sûre dont avec une accusée réception.

TCP permet de remettre en ordre les datagrammes en provenance du protocole IP.
TCP permet de vérifier le flot de données afin d’éviter une saturation du réseau.
TCP permet de formater les données en segments de longueur variable afin de les « remettre » au protocole IP.
TCP permet de multiplexer les données, c’est-à-dire de faire circuler simultanément des informations provenant de sources (applications par exemple) distinctes sur une même ligne.
TCP permet enfin l’initialisation et la fin d’une communication de manière courtoise.

3.1. Trame TCP

Le segment du TCP est constitué comme suit :

4. Protocole UDP (User Datagram Protocol) RFC 768

Le protocole UDP (User Datagram Protocol) est un protocole non orienté connexion de la couche transport du modèle TCP/IP. Ce protocole est très simple étant donné qu’il ne fournit pas de contrôle d’erreurs (il n’est pas orienté connexion…).

On résume que le protocole UDP est léger, simple et rapide mais n’offre que peu de services. Il fonctionne en mode non connecté, autorise les communications en mode diffusion. Une seule trame transportée peut destiner à plusieurs machines.

C’est-à-dire :

Broadcast : d’un à tous les machines du réseau local IP : 255.255.255.255
Multicast : d’un à plusieurs machines de classe D (224.0.0.0/4) est destiné à toutes les machines qui se sont explicitement « abonnées » à ce groupe de diffusion
- Nécessite un mécanisme pour l’abonnement et le routage (IGMP).
- L’adresse IP de classe D doit être associée à un port UDP pour constituer un groupe de diffusion de données.

4.1. Trame UDP

L’en-tête de la trame du protocole UDP est simple, ne comprend que :

Port source,
Port de destination,
Longueur,
Et somme de contrôle.

Sa trame est également simplifiée.

5. Protocole TCP/IP

TCP/IP est une association de deux protocoles :

TCP (Transmission Control Protocol) et IP (Internet protocole).

5.1. Modèle de trame TCP/IP

5.2. Spécificité du modèle OSI

5.3. Modèle TCP/IP simplifié

Habituellement, les trois couches supérieures du modèle OSI (Application, Présentation et Session) sont considérées comme une seule couche Application dans TCP/IP. Comme TCP/IP n’a pas de couche session unifiée sur laquelle les couches plus élevées peuvent s’appuyer, ces fonctions sont généralement remplies par chaque application (ou ignorées). Une version simplifiée des couches TCP/IP est présentée ci-après :

5.4. Encapsulation des données

Une trame Ethernet est adressée à une adresse MAC.
Un paquet IP (couche 3) est destiné à une adresse IP.
Un PDU (couche 4 – UDP ou TCP) est destiné à un port.
Les données sont destinées à une application.

5.5. Multiplexage et démultiplexage

La tâche importante de TCP est le multiplexage et le démultiplexage, grâce au concept des ports qui associent aux différentes applications. Combiner avec l’IP, il permet de déterminer exactement l’application sur la machine distance.

Le multiplexage/démultiplexage au niveau des machines se fait via la notion de port (comme en TCP), certains ports sont affectés à des services particuliers (RFC 1700 ou www.iana.org/assignments/portnumbers).

Noter :

Les n° de port inférieur à 1024 sont réservés (root)
Taille maximale des données transportées : (2¹⁶-1-8) ~ 64Ko
En IPv4 le checksum est en option et c’est obligatoire en IPv6.

5.6. Les sockets

Pour UDP et TCP, les sockets joue le même rôle que le multiplexage et démultiplexage car ils identifiées par une adresse IP et un numéro de port. Il y a au moins 2 sockets qui sont impliquées dans une communication.

Adressage IPv4

Mar 21,2020 Laisser un commentaire

Historique

Septembre 1981 : Internet Protocol (IP)
Octobre 1984 : Création du concept de sous-réseau (Internet subnets)
Septembre 1993 : Abandon de l’adressage par classes et utilisation de
CIDR (Classless Inter-Domain Routing)
Février 1996 : Réservation d’adresses pour l’usage privé
Décembre 1998 : Spécification d’Internet Protocol Version 6 (IPv6)

1. Introduction

En général, les adresses forment une notion d’importante en communication et sont un moyen d’identification. Dans un réseau informatique, une adresse IP est un identifiant unique attribué à chaque interface avec le réseau IP et associé à une machine (routeur, ordinateur, etc.).

IP signifie « Internet Protocol » ; son but est d’interconnecter des réseaux, c’est un protocole « routable ».

Comment un protocole peut-il être routable ?

Grâce aux adresses logiques que l’on distingue des adresses physiques.

2. Adresse physique

Les cartes réseaux possèdent toutes une adresse physique ou adresse MAC (Media Access Control). Cette adresse est un code de 48 bits (6 octets),

Les 24 premiers bits désignent le fabricant de la carte.
Les 24 bits suivants forment un numéro donné par le fabricant lui-même.

L’ensemble forme une « MAC address » unique pour chaque carte.

3. Adresse logique

L’adresse logique ou adresse IP, contrairement à l’adresse physique ne dépend pas uniquement de la machine. Elle est choisie pour pouvoir désigner une machine en tant que membre d’un réseau ou d’un sous-réseau.

Une adresse IP est un code de 32 bits soit 4 octets habituellement représentés en décimal et séparés par des points.

Exemple : 216.239.37.100

Il existe deux versions pour les adresses IP :

IP version 4 : les adresses sont codées sur 32 bits
- Elle est généralement notée avec quatre nombres compris entre 0 et 255, séparés par des points.

Exemple : 216.239.37.100

IP version 6 : les adresses sont codées sur 128 bits
- Elle est généralement notée par groupes de 4 chiffres hexadécimaux séparés par ’:’

Exemple : FE80:0000:0000:0000:020C:76FF:FE21:1C3B

3.1. Classification des adresses IP version 4

Ci-dessous la nomenclature du classement des adresses IP. Parmi les adresses IP, nous distinguerons les adresses privées, l’adresse loopback et les adresses publiques.

3.2. Adresses privées

10. x . x . x /8
172.16. x . x à 172.31.x . x /16
192.168. 0 . x à 192.168.254.x /24

Ces adresses sont « non-routées ». Elles servent uniquement à l’intérieur d’un réseau local, jamais pour des adressages entre réseaux.

3.3. Adresse réservée pour le loopback

127.0.0.1 Cette adresse vous renvoie à votre propre machine. C’est une adresse de bouclage (loopback). Vous l’utilisez avec la commande ping pour tester si votre carte réseau est bien configurée.

3.4. Adresse réservée pour le routage

0.0.0.0 Cette adresse est réservée pour configurer sur le routage qui signifie tout les réseaux.

3.5. Adresses publiques

Les adresses IP qui servent à l’usage privée :

Adresses privées
Adresses loopback (bouclage local)
Adresse réservé pour les routeurs 0.0.0.0

En dehors des adresses IP précisées ci-dessus, sont des adresses publiques. Ce qu’on appelle l’adresse publique, c’est qu’elles sont déclarées mondialement routables.

Ces adresses publiques sont délivrées par un organisme international officiel, l’ RIR (Regional Internet Registry), qui veille à ce que chacune de ces adresses publiques soit unique au monde.

3.6. NetID, HostID et Masque de sous réseaux

À partir du schéma précédent, on en déduit qu’une adresse IP est probablement décomposée en deux parties :
une partie de l’adresse identifie le réseau (netid) auquel appartient l’hôte et une partie identifie le numéro de l’hôte (hostid) dans le réseau.

L’adresse IP est à considérer en deux parties :

Les premiers bits forment l’identifiant réseau ou NetID,
Les bits suivants forment le numéro d’hôte ou HostID pour distinguer les machines du réseau.

Le masque de sous-réseau, ou /n, indique combien de bits servent à l’identification du réseau et combien de bits restent pour différencier les machines.

Exemple : Supposons que votre PC se trouve à l’adresse 195.32.6.130 et que son masque de sous-réseau soit 255.255.255.192 Commençons par afficher ce masque en binaire.

Il est constitué d’une suite de 1 suivie d’une série de 0 :

1111 1111. 1111 1111. 1111 1111. 1100 0000

La série de 1 indique combien de bits de l’adresse IP servent à identifier le sous-réseau (NetID). Les bits suivants, tous à zéro, correspondent à l’identificateur de la machine (HostID)

L’adresse du sous-réseau s’obtient par un « ET » logique entre l’adresse IP de l’ordinateur et son masque de sous-réseau :

L’adresse du sous-réseau est donc égale au NetID suivit d’une série de zéros. Les bits qui correspondent au HostID ont été « masqués ».

Les Advanced Persistent Threat (APT)

Mar 19,2020 Laisser un commentaire

1. Introduction

Advanced Persistent Threat ou les groupes de menaces persistantes avancées (APT) sont largement classés comme des organisations qui mènent, « des cyberattaques à la sécurité nationale des pays tiers et atteindre la stratégie d’économique par le biais du cyber espionnage ou du cybersabotage ». Ils sont insaisissables, éminents et efficaces dans ce qu’ils font et faire des ravages sur leurs cibles.

Les APT ne ciblent pas seulement les nations ennemies. Les grandes sociétés sont également des cibles privilégiées pour certains groupes APT, et il est absolument essentiel de capturer les opérations APT avant qu’elles ne puissent percer dans votre périmètre du système d’information. Une fois à l’intérieur, ils déploient un large éventail de méthodes pour voler des informations précieuses à des fins de renseignement interne, soit pour recevoir des rançons, soit pour un sabotage général (comme fermer les réseaux électriques ennemis).

MITRE ATT & CK a notifié 94 groupes APT différents qui sont enregistrés comme les opérateurs APT. Ces groupes APT s’étendent à travers le monde et certains groupes sont financés en grande partie par leur gouvernement ainsi que des équipes de voyous qui font aussi une énorme brèche dans le monde de la cybersécurité.

2. Depuis combien de temps nommons-nous les APT?

La date de la première action d’un groupe APT a fait le débat, tout comme la date du premier virus informatique.

Le terme « menace persistante avancée » a été inventé par l’US Air Force au début des années 2000, mais ces groupes fonctionnent probablement depuis que les gouvernements utilisent les opérations numériques.

Les groupes APT se donnent des surnoms énigmatiques depuis aussi longtemps qu’ils fonctionnent. Parfois, d’autres les nommeront, créeront des retombées du nom d’origine ou des surnoms supplémentaires surgiront par le biais des communautés qui les suivent. On dit que de nombreux groupes adoptent l’animal en leur nom en fonction du pays dans lequel ils opèrent (par exemple, la carte de visite de la Russie est un ours).

3. Groupes APT les plus actifs

Ci-dessous, je décris les groupes APT les plus importants (ne sont pas répertoriés dans l’ordre particulier). Les marques APT comprennent le nom du groupe, l’interprétation de l’emblème, le pays ou la région d’origine, s’ils sont parrainés par l’État, leur mode de fonctionnement (MO), leurs cibles et leurs armes. La plupart des origines étiquetées sont des origines suspectes, non confirmées.

Il est important de noter que je ne prends pas en charge ou ne tolère pas les cyber-pratiques malveillantes. Cet article est strictement à des fins éducatives. Qu’ils soient sanctionnés ou financés par leur gouvernement, c’est toujours le cauchemar de leur cible sur la cybersécurité et c’est de l’argent des contribuables d’une autre nation, c’est étrange comme pensée, non ?

3.1 Groupe Lazarus

Le Groupe Lazarus est lié au Bureau Général de Reconnaissance (RGB) du gouvernement nord-coréen. L’une des attaques les plus connues est l’attaque de représailles contre Sony en 2014 pour avoir produit un film qui atteignait l’image de leur leader, Kim Jong-un, d’une manière peu flatteuse. Le groupe et ses membres ont été sanctionnés par les États-Unis pour leur activité.

Origine : Corée du Nord
Date de création : 2009
Objectifs principaux : Corée du Sud, États-Unis,
Son arme : Ransomware (WannaCry, MimiKatz)

3.2 Groupe d’équation

Le groupe Equation (également connu sous le nom de Shadow Brokers) est potentiellement connecté à la National Security Agency (NSA) américaine ou à des membres de la NSA. Une attaque notable à laquelle ils sont probablement liés qui a eu lieu en 2010 et qui visait le programme nucléaire iranien.

Origine : États-Unis
Date de création : 2001
Objectifs principaux : gouvernements de l’Iran, de la Syrie, de l’Afghanistan et du Mali
Son arme : exploits Zero-day, Spyware

3.3 Groupe Fancy Bear (APT 28)

Fancy Bear s’engage dans le chaos et les menaces politiques. Il est probablement mieux connu pour son ingérence dans la campagne électorale de Hilary Clinton en 2016. Bien que la Russie n’ait pas pris la responsabilité de ce groupe, le ministère américain de la Justice a relié le groupe aux services de renseignement russes dans un acte d’accusation de 2018.

Origine : Russie
Date de création : 2004
Objectifs principaux : États-Unis et Comité national démocrate (DNC), Allemagne
Son arme : hameçonnage, Mimikatz, coreshell

3.4 Groupe Machette

Machete est un groupe sud-américain qui est extrêmement difficile à suivre. Étant donné que de nombreux des entités ciblées ont leurs sources d’attaques viennent du Venezuela, ils sont probablement basés là-bas. Ils utilisent des tactiques de phishing avancées pour accéder et voler de grandes quantités de données sensibles.

Origine : Amérique du Sud
Date de création : 2010
Objectifs principaux : militaires vénézuéliens et Colombie, Nicaragua et Equateur
Son arme : hameçonnage

3.5 Groupe Elfin (APT 33)

Ce groupe appelé Elfin ou APT 33 est lié à l’Iran. Ils semblent avoir intérêt à cibler les entités aérospatiales, aéronautiques et énergétiques aux États-Unis, en Arabie saoudite et en Corée du Sud. Elfin a une affinité pour les logiciels malveillants et a créé son propre logiciel malveillant personnalisé comme Stonedrill.

Origine : Iran
Établi : 2013
Objectifs principaux : Arabie saoudite et États-Unis (aérospatiale et énergie)
Son arme : Shamoon, Mimikatz, PowerSploit et spyware

3.6 Groupe Mythic Leopard (APT 36)

Mythic Leopard est lié au Pakistan et concentre principalement ses ressources sur le piratage et le spear-phishing des entités gouvernementales indiennes. Le moteur de ces attaques est l’espionnage pour obtenir des renseignements du gouvernement indien, des militaires et d’autres secteurs indiens privés. À l’aide d’e-mails de phishing, Mythic Leopard a pu infecter des cibles à l’aide d’un fichier Excel malveillant.

Origine : Pakistan
Établi : 2016
Objectifs principaux : l’Inde et l’armée indienne
Son arme : l’ingénierie sociale

3.7 Groupe Dynamite Panda (APT 18)

Dynamite Panda est lié à la Chine et cible principalement les organisations médicales, manufacturières, gouvernementales et technologiques basées aux États-Unis. Dynamite Panda a fait la une des journaux lorsqu’ils ont violé des données privées protégées par la HIPAA en 2014 et volé les données de 4,5 millions de patients.

Origine : Chine
Date de création : 2009
Objectifs principaux : États-Unis
Son arme : ransomware cheval de Troie

3.8 Groupe Charming Kitten

La plupart des attaques que Charming Kitten a déployées visaient des Iraniens individuels qui travaillent dans le militantisme, les médias et les universitaires. Alors les attaques visaient également Israël, les États-Unis et le Royaume-Uni. Dans l’espoir d’espionner ou de recruter des transfuges, Charming Kitten a mené une opération d’espionnage élaborée de trois ans visant des personnalités politiques américaines par le biais de comptes de médias sociaux frauduleux et « journalistiques ».

Origine : Iran
Établi : 2014
Objectifs principaux : Iran, Israël, États-Unis et Royaume-Uni
Son arme : accès au compte

3.9 Groupe Ocean Lotus (APT 32)

Le groupe Ocean Lotus serait basé au Vietnam et ses cibles incluent le Vietnam et d’autres pays d’Asie du Sud-Est comme le Laos, la Thaïlande, le Cambodge et les Philippines ainsi que l’Australie, les États-Unis et l’Allemagne. L’une des attaques les plus récentes liées à ce groupe est la violation de données Toyota. Ils déploient des logiciels malveillants et utilisent des tactiques d’exploitation zero-day pour violer leurs cibles.

Origine : Vietnam
Établi : 2014
Objectifs principaux : pays d’Asie du Sud-Est
Son arme : Malware

Sources: MITRE ATT&CK | SBS Cyber

IDS versus IPS

Mar 19,2020 Laisser un commentaire

1. Introduction

Les systèmes de détection d’intrusion (IDS) analysent le trafic réseau à la recherche de signatures correspondant aux cyberattaques connues. Les systèmes de prévention des intrusions (IPS) analysent également les paquets, mais peuvent empêcher la livraison du paquet en fonction du type d’attaques qu’il détecte, ce qui aide à arrêter l’attaque.

2. Fonctionnement

Les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions (IPS) font tous deux parties de l’infrastructure réseau. IDS/IPS comparent les paquets réseaux à une base de données de cybermenace contenant des signatures connues de cyberattaques et signalent tous les paquets correspondants aux attaques.

La principale différence entre eux est que l’IDS est un système de surveillance, tandis que l’IPS est un système de contrôle.

IDS ne modifie en rien les paquets réseau, tandis qu’IPS empêche la livraison du paquet en fonction du contenu du paquet, tout comme la façon dont un pare-feu empêche le trafic par adresse IP.

3. Systèmes de détection d’intrusion (IDS)

Analysez et surveillez le trafic réseau à la recherche de signes indiquant que les attaquants utilisent une cybermenace connue pour infiltrer ou voler des données de votre réseau. Les systèmes IDS comparent l’activité actuelle du réseau à une base de données de menaces connue pour détecter plusieurs types de comportements tels que les violations de politique de sécurité, les logiciels malveillants et les scanners de ports.

4. Systèmes de prévention des intrusions (IPS)

Vivent dans la même zone du réseau qu’un pare-feu, entre le monde extérieur et le réseau interne. IPS refuse de manière proactive le trafic réseau basé sur un profil de sécurité si ce paquet représente une menace de sécurité connue.

De nombreux fournisseurs IDS / IPS ont intégré des systèmes IPS plus récents avec des pares-feux pour créer une technologie de gestion unifiée des menaces (UTM) qui combine les fonctionnalités de ces deux systèmes similaires en une seule unité. Certains systèmes fournissent les fonctionnalités IDS et IPS dans une seule unité.

5. La différence entre IDS et IPS

Les deux IDS / IPS lisent les paquets réseau et comparent le contenu à une base de données des menaces connues. La principale différence entre eux est ce qui se passe ensuite. Les IDS sont des outils de détection et de surveillance qui n’agissent pas seuls. IPS est un système de contrôle qui accepte ou rejette un paquet basé sur l’ensemble de règles.

IDS nécessite qu’un opérateur ou un autre système examine les résultats et détermine les actions à entreprendre. Ensuite, ce qui pourrait être un travail à temps plein en fonction de la quantité de trafic réseau généré chaque jour. IDS constitue un meilleur outil d’examen criminalistique que le CSIRT ou le SOC peut utiliser dans le cadre de ses enquêtes sur les incidents de sécurité.

Le but de l’IPS, d’autre part, est d’attraper des paquets dangereux et de les déposer avant qu’ils n’atteignent leur cible. Il est plus passif qu’un IDS, exigeant simplement que la base de données soit régulièrement mise à jour avec de nouvelles données sur les menaces.

En tout cas, les IDS / IPS ne sont aussi efficaces que quand leurs bases de données de cyberattaques sont à jours et vous devez préparer à effectuer des ajustements manuels pour des nouvelles attaques d’où la signature d’attaque n’est pas dans la base de données.

6. Pourquoi IDS et IPS sont essentiels pour la cybersécurité ?

Lorsque les équipes de sécurité sont confrontées à une menace croissante de violations de données et la conformité tout en continuant à lutter contre les restrictions budgétaires et la politique de l’entreprise, la technologie IDS / IPS couvre des tâches spécifiques et importantes d’une stratégie de cybersécurité.

6.1 Automatisation

Les systèmes IDS / IPS sont en grande partie sans intervention, ce qui en fait un idéal choix pour une utilisation dans la chaîne de sécurité actuelle. IPS offre la tranquillité d’esprit pour que le réseau est protégé contre les menaces connues avec les besoins en ressources limités. Alors que pour une grande structure, il faut utiliser l’IDS car il correspond plus pour un trafic plus imposant avec un opérateur dédié, mais on peut également coupler les deux solutions.

6.2 Conformité

Pour la conformité nécessite souvent de prouver que vous avez investi dans des technologies et des systèmes pour protéger les données. La mise en œuvre d’une solution IDS / IPS est nécessaire dans la démarche de conformité et qui traite un certain nombre de contrôles de sécurité. Plus important encore, les données d’auditées sont un élément précieux des enquêtes de conformité.

6.3 Application des stratégies

Les IDS / IPS sont configurables pour appliquer les stratégies de sécurité internes au niveau du réseau.

Par exemple, si vous ne prenez en charge qu’un seul VPN, vous pouvez utiliser l’IPS pour bloquer tout autre trafic VPN.

Alors que la sécurité du réseau est essentielle pour la protection contre les violations de données et que IDS / IPS remplissent parfaitement ce rôle. Sokem Technologies pourra surveiller son activité en temps réel sur les données, qui sera très rassurant pour toute stratégie de cybersécurité de l’entreprise.

All posts by skem

1. Introduction

2. Objectif

3. Prérequis

4. Déroulement

4.1 Initialisation de la cérémonie

4.1.1 Vérification les conditions

4.1.2 Réalisation de cérémonie

5. Clôture de la cérémonie

6. Conclusion

1. Introduction

2. Caractéristique du 802.1x

2.1 Les composants 802.1x

2.2 Fonctionnement

2.3 Le réseau de confiance

2.4 Le réseau à accès contrôlé

2.5 Supplicants

3. Synoptique de connexion

4. Protocole de communication

4.1 EAP-MD5

4.2 EAP-MSCHAPv2

4.3 EAP-TLS

4.4 EAP-PEAP

4.5 EAP-TTLSv0

5. Limite du 802.1x

1. Comment se protéger contre les ransomwares

1.1. Conseils de base

1.2 Créer des règles de protections

1.3. Protégez vos informations personnelles

1.4 Qui expose au risque ?

2. Comment résoudre à une attaque de ransomware

2.1 Isolement

2.2 Identification

2.3 Impliquer les autorités

2.4 Supprimez le logiciel malveillant

2.5 Récupérer des données

3. Devriez-vous payer le ransomware ?

3.1 Avant d’envisager des paiements

3.2 Recherchez un outil de décryptage

3.3 Quand devriez-vous envisager de payer

1. Introduction

2. Qu’est-ce que Ransomware ?

2.1 Comment fonctionne le ransomware ?

3. Processus de ransomwares

3.1 Mode d’infection

3.2 Échange de clés de sécurité

3.3 Cryptage

3.4 Extorsion

3.5 Déverrouillage et récupération

4. Qui est à risque ?

5. 7 vecteurs indispensables de ransomwares

5.1 Chiffrement

5.2 Symétrique

5.3 Asymétrique

5.4 Briser un cryptage

5.5 Effacement

5.6 Verrouillage

5.7 Mobile Ransomware

6. Exemples de ransomwares

1. Introduction

2. Le concept de routage

2.1. Exemple des composants réseaux

3. Protocoles de routages

4. Protocole TCP/IP

4.1. Les types de communications TCP/IP

1. Introduction

2. Protocole IP

3. Protocole TCP (Transmission Control Protocol) RFC793

3.1. Trame TCP

4. Protocole UDP (User Datagram Protocol) RFC 768

4.1. Trame UDP

5. Protocole TCP/IP

5.1. Modèle de trame TCP/IP

5.2. Spécificité du modèle OSI

5.3. Modèle TCP/IP simplifié

5.4. Encapsulation des données

5.5. Multiplexage et démultiplexage

5.6. Les sockets

Historique

1. Introduction