All posts by skem

  • Accueil   /  
  • Articles publiés par skem
    • ( Page2 )

Conformité RGPD

Laisser un commentaire
rgpd

1. Introduction du RGPD

Le décret de loi daté du 2018 du le Règlement Général sur la Protection des Données (RGPD) en France.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952&categorieLien=id

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitiez les données (clients, collaborateurs, etc.).

Par ce décret de loi, les entreprises devront classifier les données qui y transitent dans l’ordre de confidentialité pour les protéger. Ils sont également dans l’obligation d’informer les personnes concernées de la disponibilité de ces données au cas où, ils veulent les modifier ou supprimer ou refuser.

Ci-dessous, la procédure pour mettre en conformité du RGPD, elle permet de vous aider à comprendre et à faire la démarche.

2. La démarche pour la mise en conformité

2.1 Etape 1: Nommer un DPO (Data Protection Officer)

Le délégué à la protection des données (DPO), c’est un rôle juridique une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.

Ses missions principales sont : d’une part d’informer et de conseiller son organisation, et d’autre part de contrôler l’application des textes légaux et des règles internes en matière de données personnelles. Il fait office de point de contact entre son organisation et une autorité de contrôle nationale, comme la CNIL.

2.2 Etape 2: Cartographier les traitements

Cartographier les traitements des données consiste à identifier les processus concernés par le RGPD et calculer leur niveau de conformité en les soumettant à une étude d’impacts PIA (Privacy Impact Assessment).

Commencer d’abord à identifier les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.

Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

  • L’objectif poursuivi (la finalité – exemple : la fidélisation client) ;

  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;

  • Qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;

  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

Pour chaque fiche de registre créée, vérifiez que :

  • Les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;

  • Vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir la fiche « Traitements de données à risque : êtes-vous concerné ? ») ;

  • Seules les personnes habilitées ont accès aux données dont elles ont besoin ;

  • Vous ne conservez pas vos données au-delà de ce qui est nécessaire.

A cette occasion, améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

2.3 Etape 3: Établir un plan d’action

Sur la base de cet état des lieux, un plan d’actions est mis en œuvre. Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doit être établie. Ce qui entraîne une révision en profondeur de la politique de confidentialité.

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Informez les personnes

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte les éléments suivants :

  • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;

  • Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;

  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;

  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;

  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;

  • Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens.

Bien traiter les demandes des consommateurs quant à leurs données personnelles c’est :

  • Renforcer la confiance qui sécurise la relation-client ;

  • Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.

2.4 Etape 4: Poser le cadre de gouvernance

Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression.

  • Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (privacy by design) ?

  • Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ?

  • Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?

Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

2.5 Etape 5: Sensibiliser les collaborateurs de RGPD

L’étape finale de RGPD est de sensibiliser les collaborateurs sur la protection des données pour que cette démarche de RGPD sera encore plus efficace dans la durée.

Les différents types de test d’intrusion

Laisser un commentaire
Pentesting

1. Introduction

Ce document servira comme une instruction pour comprendre comment est organisé le test d’intrusion. Il explique sur l’aspect juridique, et le déroulement du test d’intrusion. Il n’est pas fait pour que vous appreniez à pirater les voisins ou dans votre entreprise. Je ne serai pas responsable de vos actes si vous ne déférez pas à la loi. Dans la section « aspect réglementaire« , il sera vous expliqué plus en détail à la loi Française sur la violation du système d’information qui pourra vous entraîner au pénal si vous manquerez les procédures de ce métier.

Donc, ce document s’adresse à des professionnels du métiers de la cybersécurité et aussi à des étudiants dans ce domaine qui recherchent des informations complémentaires pour sa formation.

Si vous avez bien compris, vous pouvez continuer la lecture.

2. Qu’est ce qu’un test d’intrusion?

Le test d’intrusion en Français ou Pentest en Anglais est une méthode d’évaluation de la sécurité d’un système d’information. A l’issu de ce test, on peut évaluer les risques qu’encours afin de remédier les erreurs ou les défauts de protection du système d’information de l’entreprise.

2.1 Type d’intrusion

1. Boite noire (Black box) les testeur n’a aucune information sur l’entreprise.
2. Boite grise (Grey box) le testeur a un nombre limité d’information sur l’entreprise.
3. Boite blanche (White box) le testeur possède les informations nécessaires pour entreprendre ses tests d’intrusion.

2.2 Avec quels outils?

Selon le goût et les habitudes de chacun, vous avez un embarras de choix en visitant sur ce site.
https://itsfoss.com/linux-hacking-penetration-testing/
Dans chaque distribution possède les outils standards et personnalisés propre à l’éditeur. Si vous êtes nouveau, vous pouvez tester une par une pour trouver celui qui vous conviendra le mieux.

2.3 Les différentes phases

Le test d’intrusion se compose en plusieurs phases. Chaque phase a son importante pour le déroulement de test.

1. Les règles de pré-engagement, cette phase consiste à régler juridiquement les accords sur la prestation. C’est-à-dire contractuellement les accords entrent les deux parties.
2. Reconnaissance, Cette phase consiste à faire la reconnaissance sur l’entreprise cible afin de récupérer le maximum d’information pour son travail de testeur.
3. Analyse de vulnérabilité, Cette phase consiste à analyser des vulnérabilité à partir des informations récupérées dans la reconnaissance afin de trouver des failles éventuelles.
4. Exploitation, Cette phase consiste à exploiter les failles dans la précédant phase. C’est-à-dire, exploiter ces failles pour trouver un accès physique ou logique et surtout garder les preuves d’intrusion.
5. Recherche et maintien d’accès, Cette phase consiste à maintenir d’accès une fois que l’intrusion effectué et apporter la preuve de pénétration.
6. Compte-rendus et rapports, Enfin, le compte-rendu et le rapport d’intrusion avec les preuves que vous avez effectué durant ces tests.

2.4 Les méthodes

Il existe plusieurs méthodes d’intrusion, à savoir les un et les autres ont les mêmes objectifs de trouver les failles dans le système d’information en test, sauf que la spécialisation est différente les uns et les autres : 

  • PTES (The penetration Testing Execution Standard)
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • OWASP Testing guide, Open Web Application Security Project est une communauté en ligne travaillant sur la sécurité des applications Web.
  • Référentiel NIST
  • etc…

3. Aspect réglementaire

Il faut savoir qu’une intrusion à une système d’information sans accord encours de deux ans d’emprisonnement et 30000€ d’amende, code pénal (art. 323-1). Il est donc nécessaire de passer à la phase « Les règles de pré-engagement » avant de commencer quoi que ce soit. Il est impérativement que vous vous protégiez juridiquement et de prouver contractuellement le consentement de l’organisme audité. L’auditeur a la possibilité de labellisé PASSI auprès de l’ANSSI pour assurer la qualité des organismes audités.

Dans le cas de sous-traité le test, il est obligatoire d’établir le contrat de sous-traitance (loi n° 75-1334 du 31 décembre 1975 relative à la sous-traitance – article 3).

Pour les tests chez les intermédiaires (Hébergeurs, CDN, Cloud, etc…) il est indispensable de vérifier les contrats ou demander l’autorisation (Code pénal. art. 323-2). Le prestataire du test doit respecter de la vie privée (Code civile. art. 9 du 10 juillet 1991, code pénal art. 226-15; al 2), puis il doit utiliser les outils de test prohiber ( Code pénal, art. 323-3-1). Tout doit éviter le dommage collatéral occasionné par le test (Code pénal. art. 323-2 rt 323-3). Autre part, le prestataire du test doit respecter la confidentialité des auditeurs (Code pénal. art. 226-13, responsabilité civile), les infractions révélés du test (Code pénal. art. 223-6, al 1, Code pénal. art. 434-1, al 1), ainsi que l’usurpation d’identité (Code pénal, art. 226-4-1) et le vol d’information (Code pénal, art. 311-1).

4. Règles de pré-engagement

Un test d’intrusion n’est pas simplement un « hack » de l’entreprise, mais plutôt l’identification des risques de business. Donc, l’intérêt des testeurs est l’adaptation du test d’intrusion aux besoins de l’entreprise.

4.1 Périmètre

Le périmètre est une des phases la plus importante des testeurs, souvent négligé qui produira un effet « client non satisfait » ou pire « illégal » . Il est idéalement décrit les coûts, du temps et de charge de travail pour éviter la surfacturation ou le dépassement non-respect des délais pour le testeur.

4.2 Le but

Chaque test d’intrusion devrait être axé sur les objectifs. Il ne s’agit pas de trouver des systèmes non corrigés. Il s’agit d’identifier les risques qui auront un impact négatif sur l’organisation.

4.3 Délai de paiement

Un autre aspect de la préparation de test que de nombreux testeur oublient complètement est la façon dont ils devraient être payés. Tout comme les dates de contrats, il devrait y avoir des dates et des modalités spécifiques pour le paiements.

4.4 Estimer le temps

Les estimations de temps sont liés à l’expériences du testeur dans une certaine aptitude. Il vaut mieux d’ajouter 20% supplémentaire afin de prévoir un éventuel incidents de planning. La re-facturation peut être revue si le test d’intrusion est terminé plus tôt que prévu.

4.5 Réunion

Lancer une réunion pour expliquer les différentes phases de tests et quelles personnes devront être informer les dates de début et fin de test. La planification sur GANTT peut être utiliser afin de montrer les différents jalons et expliquer le périmètre du contrat. Avant de commencer le test d’intrusion, toutes les cibles doivent être identifiés. Ces objectifs doivent être obtenus auprès du client lors de la phase initiale du questionnaire.
Il est important de définir si des systèmes comme le pare feu, IDS/IPS se trouvent entrent le testeur et la cible finale.

Etre informer si dans certaine situation d’où les applications sont hébergées par un tier :

  • Cloud
  • FAI
  • Managed security service
  • Pays où les serveurs sont hébergés

4.6 Définir le contexte ingénierie sociale

Les attaques par le spear-phishing ou autres sont très utilisés dans le test d’intrusion. Il est important de définir qui est possible ou pas, par email: sexe, drogue, etc…

4.7 Attaque par DDos

Le test de stress ou de déni de service devraient être discuter avant le début de l’engagement. Il peut s’agir d’un sujet auquel de nombreuses d’organisation sont mal à l’aise en raison de la nature potentiellement dommageable des tests.

5.2 Rapport

Le rapport d’un test d’intrusion doit contenir :
  • introduction
  • Objectifs
  • Périmètre
  • Méthodologie utilisée
  • Notes générale

Puis une partie technique

  • Identifier les problèmes systématiques et analyse technique des causes profondes.
  • Constatations techniques (descriptions, Screenshots, Données sensibles trouvées PoC,…).
  • Scorecard technique

Puis une partie du risque business

  • Impact sur l’entreprise
  • Il doit être personnalisé

Puis conclusion générale

Les données informatique

Laisser un commentaire
Pentesting

 

1         Introduction

Les données représente en informatique les informations d’un programme soit du texte soit le contenu pour que le programme en tirer à la demande des utilisateurs.

1.1        Caractéristiques

Une donnée possède plusieurs caractéristiques :

  • Un type.
  • Une criticité.
  • Les droits.
  • Les moyens d’accès.

1.2        Les supports de stockages

Etant donné les données se sont des informations, elles sont alors stockées dans le temps sur un support de stockage (disque dur, CD-Rom, DVD-Rom, Clé USB, Serveurs de fichiers, système d’information, etc….).

En instant T, elle peut également être présente dans la mémoire vive d’un ordinateur, transiter sur le réseau.

Ces supports permettent de la produire, l’utiliser, de l’archiver, de la modifier, et de la partager.

2         La criticité des données

2.1        L’importance des données

Les données est principalement se caractériser par son importance pour vous et pour votre entreprise.  Donc, sa criticité se caractérise par rapport à son importance qui représente.

2.2        La mémoire et intelligence

Les données qui sont à l’entreprise représente le cerveau de l’homme, de ses employés, de la richesse de l’entreprise. Elles constituent les informations sensibles qui peuvent porter atteindre à l’entreprise si elles sont divulguées à des tiers.

2.3        Son accessibilité

Les données doivent être accessible qu’aux personnes autorisées, il est donc important de mettre en place un système de classification et de définir qui accès à quel niveau de classification.

En France, le code de la défense propose 3 niveaux de classifications des informations :

  • Très secret défense
  • Secret défense
  • Confidentialité défense

3         La classification des données

3.1        Très secret défense

Le plus haut niveau de secret de l’information, Il réserve aux informations et support qui concernent les priorités gouvernementales en matière de défense et de sécurité nationale.

On estime que la divulgation d’une telle information est de nature à nuire très gravement à la défense nationale.

3.2        Secret défense

Le niveau secret défense quant à lui est réservé aux informations et support dont la divulgation est de nature à nuire gravement la défense nationale.

3.3        Confidentialité défense

Le niveau Confidentialité défense est réservé aux informations et supports dont la divulgation est de nature à nuire à la défense nationale on pourrait conduire à la découverte d’un secret de la défense nationale classifiée.

3.4        Restreint / Public

Ce niveau peut être réadapter selon les besoins de l’entreprise. Autre part, votre entreprise peut également ajouter d’autres niveaux tels que « Restreint » et « non-protégé /public » visant respectivement à protéger ou non l’information.

4         La classification et les droits d’accès

4.1        La confidentialité des données

Pour préserver la confidentialité des données, des droits d’accès sont définis selon les utilisateurs.

  • Droit de lecture seule (Consultation uniquement)
  • Droit d’écriture (Modification des documents)
  • Droit d’administration (Consultation / Suppression des documents / et modifications des droits d’accès des utilisateurs)

4.2        La durée de vie

La durée de vie des données est comme un être humain. Elle a une date de création, de modification, puis son obsolescence dans laquelle elle n’a plus de valeur (ou une valeur réduite).

La destruction des données sur un support peut intervenir pendant la phase de durée de vie utile ou lorsque l’information n’a plus de valeur. On appelle « le cycle de vie de l’information ».

4.3        Les modalités

Les modalités concernant son classement, son stockage, son échange et sa destruction sont définies dès sa création selon les classifications.

5         Les risques sur les données

Il existe plusieurs niveaux de risques pour les données. Ils sont plus ou moins important selon les critères de disponibilités, d’intégrité, et de confidentialité (DIC), connu en Anglais sous le sigle (CIA) Confidentiality, Integrity, Availaibility.

5.1        Risque d’atteindre à la disponibilité

Le premier niveau de risque d’atteinte la disponibilité des données, c.-à-d., le fait que le système ne soit pas disponible pour un utilisateur autorisé.

En 2016, de nombreux d’attaque DDoS ont ainsi atteinte de nombreux sites Web marchands connus, notamment grâce aux objets connectés comme nous avons pu le voir précédemment avec les caméras de surveillances.

L’indisponibilité des données peuvent entraîner des pertes financières dues à la baisse d’activité.

5.2        Risque d’atteindre à l’intégrité

Atteindre à l’intégrité des données, veut dire la modification non-autorisée des données. L’atteinte à l’intégrité des données peut engendrer des conséquences pour l’entreprise qui se trouverait avec des données erronées qui peut entraîner aussi des pertes financières.

5.3        Risque d’atteindre à la confidentialité

Atteindre à la confidentialité veut dire sur la divulgation non-autorisée des données. Elle peut être plus ou moins important selon leur niveau de classification (Très secret défense, Secret défense, confidentialité défense, etc.…).

Elle peut être causée par une personne malveillante et peut être involontaire lors d’un déplacement par exemple.

 

Curriculum Vitae

Laisser un commentaire

Consultant en infrastructure réseaux, systèmes et cybersécurité

COMPETENCE FONCTIONNELLE

Gestion de projet
  • Processus Agile ou cascade, Conduire les comités de   pilotage, mettre en place les tableaux de bord,             impliquer les décisionnaires, sélectionner et                 coordonner l’activité des prestataires.
  • OPEX, CAPEX.
  • Facturation, gestion des risques, pilotage, planning,    maîtrise de l’infrastructure.
  • Manager d’équipe : recrutement, formation et évaluation des collaborateurs.
  • Externalisation, Centres de Services, relations client/fournisseurs et contrats.
  • Expressions de besoins et appels d’offre, budget,      juridique et droit des contrats.
  • Cahier des charges fonctionnels.
Cybersécurité
  • Gestion des risques, ISP.
  • ISO 2700x/22301.
  • Conformité RGPD et LPM.
  • Durcissement
  • La cryptographie : PKI, SSL, TLS, Symétrique, Asymétrique
  • Antivirus
  • Conseil en PCA/PRA, PCI-DSS, PDIS, PRIS, FORENSIC, SIEM.
  • Audit SSI, Pentest (PTES).
Architecture
  • N tiers
  • Document DAT : HLD, DLD
Méthodologie
  • MERISE, UML, ITIL, PTEST, EBIOS
COMPETENCE TECHNIQUE
Système
  • Linux, Windows
Virtualisation
  • XenServer, VMware, Citrix.
Périphérique réseau
  • Cisco, HP, F5 BigIP, BlueCoat.
Firewall
  • Cisco, Checkpoint, PaloAlto, Fortinet, Netasq, Stormshield.
Services
  • DNS, SNMP v2/3, NIS, NFS, SAMBA, LDAP, AD, DHCP.    SMTP/SMTP Gateway, IMAP, Reverse Proxy/Proxy, SSH, VPN, Vlan, WiFi, Iptables, HSRP, VRRP.
Messagerie
  • Exchange, Postfix.
Supervision
  • Hobbit, Nagios, Whatsup, EON, Centreon, Nagvis, Cacti.
SGBD
  • MySQL, MSSQL
ERP/CRM
  • Sage, Cegid, Ciel, Vtiger, Workbridge.
Application
  • MsOffice, Dameware, PcAnywhere, MsProject, Rsyslog, LogAnalyzer, OSSEC, Splunk, Qradar.

Le Système d’information

Laisser un commentaire
Routage

1.    Introduction

Le système d’information est un ensemble de ressources qui permet de collecter, stocker, traiter et distribuer des informations. Ces systèmes d’information sont disponibles dans le cyberespace et les espaces non-droit.

Aujourd’hui, plusieurs objets sont connectés aux systèmes d’information. Ils sont présents pour collecter, pour stocker, pour traiter, et pour distribuer.

La liste de ces objets sont de plus en plus nombreux :

  • Les ordinateurs,

  • Les serveurs,

  • Les tablettes,

  • Les smartphones,

  • Les caméras de surveillances,

  • Les voitures connectées, etc…

Tous ces objets sont vulnérables lorsqu’ils sont connectés à l’internet. Le cyberespace est un endroit à haut risques.

Dans certains pays, l’utilisation de cyberespace est réglementée. Comme, stocker ou/et transiter les données chiffrées non autoriser ou certains pays vont même créer un réseau complètement fermé, c’est la volonté de contrôler le système d’information.  D’autres, disposent même techniquement la capacité de bloquer ou de censurer tout ou une partie d’internet.

2.    Réglementation Française sur le système d’information

En France dispose également de réglementation. Elle a créé plusieurs entités nationales pour encadrer le système d’information et pour défendre contre les cyberattaques. Je vais vous décrire quelques entités nationales pour prendre connaissance de leurs principaux activités.

2.1. Commission National de l’Informatique et des Libertés (CNIL)

Le CNIL a été créé par la loi informatique et liberté du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

2.2. La loi Godfrain du 5 janvier 1988

Loi no 88-19 du 5 janvier 1988 relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.

2.3. La loi pour la confiance dans l’économie numérique 

Le décret no 2004-575 du 21 juin 2004, abrégée sous le sigle LCEN, est une loi française sur le droit de l’Internet, transposant la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La transposition de la directive 2000/31 aurait dû être effective le 17 janvier 2002 mais ne l’aura été que le 21 juin 2004.

2.4. Network and Information Security (NIS)

  • Améliorer la capacité de cybersécurité des états membres.
  • Améliorer la coopération entre les états et les secteurs publics et privés.
  • Exiger les entreprises des secteurs critiques : Energie, Transport, Finances et la Santé ainsi que les services internet clés adoptent les pratiques de gestions des risques et communiquent les accidents majeurs aux autorités nationales.
  • La directive est structurée autour de 4 axes :
    • Le renforcement des capacités nationales de cybersécurité. Les états membres doivent notamment se doter d’autorité nationale compétentes en matière de cybersécurité, l’équipe nationale de réponse aux incidents informatiques (CSIRT) et de stratégie nationale de sécurité. Pour la France : ANSSI et CERT-FR.
    • Etablissement d’un cadre de coopération volontaire entre les états membres de l’UE. Création de groupe coopération des états membres sur l’aspect politique et cybersécurité ainsi qu’un réseau européen des CSIRT des états membres.
    • Renforcement par chacun des états de la cybersécurité de services essentiels.
    • L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.

2.5. Le règlement général sur la protection des données (RGPD)

Il responsabilise les organismes publics et privés qui traitent leurs données. La réforme de la protection des données a pour 3 objectifs :

  • Renforcer les droits des personnes, notamment sur la création d’un droit à la portabilité des données personnelles et des expositions propres aux personnes mineurs.
  • Responsabiliser les acteurs qui traitent les données.
  • Crédibiliser la régulation grâce à une coopération renforcer entre les entités de protections des données qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et renforcer les sanctions.

3.    Législation internationale sur le système d’information

ICANN, est une organisation à but non lucratif et reconnue d’utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l’interopérabilité de l’Internet.

Conformité à la loi de programmation militaire (LPM)

Laisser un commentaire

1. Introduction

L’entrée en application de la LPM implique nécessairement un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV (Système d’information d’importance vitale), mettre en conformité leurs Systèmes d’Information à chacune des règles et aligner leurs processus et corpus documentaire sur les exigences imposées par la LPM.

L’ANSSI estime à 3 ans la durée nécessaire aux OIV pour assurer un déploiement global des mesures de cybersécurité de la LPM.

2. Par où commencer ?

Pour une mise en conformité efficace, il convient de commencer par dresser la liste des SIIV, réaliser la cartographie des SIIV et recenser les écarts en matière de protection des systèmes d’information.

Ci-dessous une liste précise des différentes étapes du processus d’homologation :

  • Stratégie d’homologation et mise en place d’une architecture robuste :
    • Identifier les Systèmes d’information d’importance vitale de l’opérateur ;
    • (SIIV) à homologuer et le justifier ;
    • Identifier les acteurs de l’homologation et leur rôle ;
    • Instruire le contenu du dossier d’homologation et définir le planning ;
    • Mettre en conformité les systèmes d’information avec la LPM (gestion des incidents de sécurité et protection des systèmes des systèmes d’information) ;
  • Maîtrise des risques :
    • Effectuer une analyse des risques pesant sur les SIIV ;
    • Mesurer l’écart entre les objectifs de sécurité et la réalité (audit PASSI) ;
    • Mise en place du plan d’actions nécessaires à la réduction des risques ;
    • Identifier les risques résiduels ;
  • Décision d’homologation

3. Les 20 règles de la LPM

Les arrêtés de la loi de programmation militaire prévoient un délai variant de 3 mois à 2 ans pour mettre en place les mesures de mise en conformité des SIIV. Ces mesures sont listées dans la loi, au nombre de 20, et regroupées en fonction des thématiques de mise en conformité présentées ci-dessous :

3.1. Le coût

Les SIIV représentent en moyenne 3% des SI des OIV, ainsi les budgets nécessaires à leur mise en conformité sont encore difficiles à déterminer.

Selon l’enquête, la taille des SI dont le budget nécessaire peut aller de 5 à 45 millions d’euros.

Toutefois, ces budgets peuvent être largement minorés lorsque le niveau de maturité de l’opérateur en matière de cybersécurité est déjà élevé.

3.2. Les acteurs

De par ses relations privilégiées avec l’ANSSI et son rôle au sein de son entreprise, le RSSI (responsable de la sécurité des systèmes d’information) est l’acteur légitime pour piloter et animer la mise en conformité.

Ainsi, le RSSI est le chef d’orchestre qui mobilise les différents acteurs, de la généralisation des principes de sécurité à la planification des différents chantiers de mise en conformité.

Les RSSI sont les premiers interlocuteurs de l’ANSSI, mais aussi la direction, les responsables de la sécurité, les équipes conformité, les métiers, la DSI, et les achats.

3.3. Le contenu du dossier d’homologation

  • PSSI (politique de sécurité des systèmes d’information)

  • Stratégie d’homologation

  • Procédure d’homologation

  • Rapport d’analyse de risque

  • Rapport de l’audit PASSI (audit de configuration, architecture, organisationnel et physique)

  • Plan d’actions réduisant les risques

  • Liste des risques résiduels

  • Cartographie des SIIV

  • Avis commission d’homologation

  • Décision d’homologation

3.4. Le cycle d’homologation

  1. Ce cycle d’homologation est à renouveler tous les 3 ans.

  2. Si le SIIV est déjà en production, c’est une rétro homologation.

  3. Si le SIIV est nouveau, l’homologation permettra la mise en production.

  4. Si un SIIV connait un changement majeur, cela peut impliquer un réexamen du dossier d’homologation pouvant conduire à une nouvelle décision d’homologation ou à un retrait de la décision d’homologation. Il est donc recommandé que la commission d’homologation soit réunie une fois par an par l’autorité d’homologation pour vérifier le respect des conditions d’homologation.

4. Conclusion

Ces 20 règles qui sont une contrainte réglementaire permettant aux OIV d’améliorer leur niveau de sécurité de leur SI en matière de processus, d’organisation humaine, d’analyse des risques et de sécurisation technique.

Cela permet de réduire grandement le risque de piratage des systèmes d’information d’importance vitale des opérateurs, de sensibiliser les équipes informatiques et de se préparer.

La sécurité informatique a un coût, mais également un bénéfice : le vol d’informations stratégiques, le sabotage d’une infrastructure ou l’indisponibilité d’un système vital peuvent engendrer des impacts négatifs bien supérieures au coût de la cybersécurité que ce soit en matière de coût financier, organisationnel, juridique, réglementaire ou de déficit de réputation et d’image.

Ce qui peut occasionner un coût global pour un opérateur d’importance vitale de plusieurs centaines de millions d’euros.

Dans une stratégie de réduction des risques, il s’agit donc plus d’une opportunité qu’une contrainte.

Loi de Programmation Militaire (LPM)

Laisser un commentaire

Description

L’article 22 de la loi de programmation militaire (LPM) entrée en vigueur au 1er juillet 2016 via les premiers arrêtés sectoriels, introduit le concept d’opérateur d’importance vitale.

Le concept d’opérateur d’importance vitale (OIV) est défini par l’article R. 1332-1 du Code de la Défense.

Un OIV est une organisation qui :

  • Exerce des activités comprises dans un secteur d’activités d’importance vitale ;
  • Gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement :
    • Obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ;
    • Ou de mettre gravement en cause la santé ou la vie de la population ».

L’article 22 de la loi de programmation militaire prévoit une mise à niveau de la sécurité des systèmes d’information des opérateurs dits d’importance vitale (OIV), afin d’éviter, par exemple, qu’une cyberattaque ne permette de pirater le trafic ferroviaire, d’infecter les canalisations d’eau potable ou de prendre le contrôle d’une centrale nucléaire.

Douze secteurs d’activités d’importance vitale (SAIV) ont été définis dans un arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008 :

  • Secteurs étatiques :
    • Activités civiles de l’État ;
    • Activités militaires de l’État ;
    • Activités judiciaires ;
    • Espace et recherche.
  • Secteurs de la protection des citoyens (dominante humaine) :
    • Santé ;
    • Gestion de l’eau ;
    • Alimentation.
  • Secteurs de la vie économique et sociale de la nation (dominantes économiques et technologiques) :
    • Énergie ;
    • Communications électroniques, audiovisuel et information ;
    • Transports ;
    • Finances ;
    • Industrie.

Actuellement, environ 250 opérateurs d’importance vitale ont été identifiés en France dont l’identité est classée confidentiel défense.

Sources

Les objets connectés (IoT)

Laisser un commentaire

1. Définition

Les objets connectés désignent la connexion de ces objets au réseau internet. Ces objets sont connectés soit directement par WiFi utilisant le protocole TCP/IP ou par intermédiaire du smartphone ou via le Bluetooth ou grâce à un protocole de communication qui leur sont propres, et qui permettraient aux objets entre eux (Z-Wave, Zigbee).

Ces dispositifs englobe n’importe quel objet captant et échangeant des données (Smartphone, GPS, Capteur divers, Camera IP & Webcam, Téléviseur, Réfrigérateur, Montre, Enregistreur Vidéo Numérique, Routeur, Voiture, Pacemaker, ne sont que quelques exemples).

C’est ce type d’objets 2.0 que nous appelons objets connectés.

2. L’IoT / IdO dans les entreprises

2.1. A quelle fin ?

Les objets connectés offrent aux entreprises à la fois un nouveau type de business model, comme une aide à la gestion. Ils produisent de grandes quantités de données dont le stockage et le traitement entrent dans le cadre de ce que l’on appelle les big data.

2.2. L’écosystème IoT se décline en 3 catégories

  1. Léger :
    • Dispositif physique simple, typiquement un capteur, qui a peu de fonctions.
    • Protocole de réseau local à court ou à long terme pour la connectivité.
    • Système d’exploitation minimal ou non.
  2. Complexe (connecté à un Back End) :
    • Connecté à un serveur de back-end sur une liaison de communication longue distance.
    • Peut effectuer des opérations cryptographiques symétriques ou asymétriques.
  3. Passerelle :
    • Petit périphérique, généralement connecté à l’alimentation secteur, qui gère la communication entre les points d’extrémité légers et le back-end.

Les objets pouvant interagir avec leur environnement à travers le cloud et dont les fonctionnalités sont enrichies par un applicatif ou un capteur offrent un panorama d’usages multiples (avec en tête celui de la domotique et de la maison connectée).

En logistique, il peut s’agir de capteurs qui servent à la traçabilité des biens pour la gestion des stocks et les acheminements.

Dans le domaine de l’environnement, il est question de capteurs surveillant la qualité de l’air, la température, le niveau sonore, l’état d’un bâtiment, etc.

En domotique, l’IdO recouvre tous les appareils électroménagers communicants, les capteurs (thermostat, détecteurs de fumée, de présence…), les compteurs intelligents (Linky) et systèmes de sécurité connectés des appareils de type box domotique.

Le phénomène IdO est également très visible dans le domaine de la santé et du bien-être avec le développement des montres connectées, des bracelets connectés et d’autres capteurs surveillant des constantes vitales.

Selon diverses projections, le nombre d’objets connectés devrait largement augmenter au fil des ans, avec une prévision de 34 milliards d’objet d’ici 2020.

Les entreprises font ainsi état d’un large champ d’applications, allant de l’amélioration de process en interne au développement de nouvelles manières de se déplacer.

Les applications liées à l’émergence d’un « client connecté » arrivent ainsi dans le top 3 des priorités des entreprises. Pour celles-ci, 17% utilisent l’IoT dans une optique d’auto-diagnostique, et un peu plus de 15% pour suivre et gérer leurs actifs.

Trois autres types d’applications arrivent en tête des priorités de certaines entreprises :

  • Le développement d’applications de santé.
    • Le contrôle de leur supply chain.
    • Ainsi qu’une transition vers une smart factory (ou Industry 4.0, nom donné à la tendance actuelle de l’automatisation et de l’échange de données dans les technologies de fabrication).

3. L’IoT et les risques de fuites informations

On peut facilement dire que ces petits objets technologiques ont bouleversé notre manière de vivre aujourd’hui. Alors si ceux-ci paraissent alléchants et pratiques, ils suscitent certaines questions éthiques de l’ordre de la préservation de la vie privé.

Les données, désignent toutes les informations que récupèrent les objets connectés que vous utilisez. Par exemple, des informations médicales, vos goûts musicaux en passant par vos données bancaires, les données deviennent votre identité numérique. Celles-ci voyagent dans le monde entier entre les serveurs des marques des objets connectés et votre maison, smartphone ou ordinateur de bureau.

Régulièrement, reviennent dans les actualités des scandales de piratages de données, et de demandes de rançons contre la restitution de données dans le domaine médical surtout. Ce sont là des questions sensibles mais essentielles à garder en tête en ce qui concerne l’Internet des objets.

4. Attaque à l’aide de Botnet IoT

En Juillet 2015, piratage d’une Jeep Cherokee alors qu’elle roulait. Les chercheurs ont réussi à prendre le contrôle du véhicule incluant la possibilité d’activer ou désactiver les essuies-glaces, suivre le GPS et arrêter le moteur.

En Septembre 2016, le site internet https://krebsonsecurity.com, hébergé par l’entreprise Akamai, a subi une attaque de déni de service distribué (DDoS).

Selon Akamai, cette attaque a constitué (jusqu’alors) l’une des plus importantes attaques qu’Internet n’ait jamais connue. En effet, il s’agit ici de plus de 620 Gbps de trafic réseau ciblant le site internet.

La distribution de l’attaque par nombre de devices/emplacement sur une carte :

Une attaque de grande ampleur a eu lieu vendredi 21 octobre 2016, mettant hors service pendant quelques heures plusieurs grands sites Internet comme amazonNetflixTwitterRedditSpotify ou Tumblr.

Ces sites n’étaient pas directement sous le coup d’une attaque, ils ont été les victimes collatérales d’une attaque contre Dyn, une entreprise dont les services font d’elle une infrastructure critique d’Internet : Dyn gère un service DNS (système de noms de domaine), qui permet de corréler un nom de domaine en une adresse IP et vice versa.

UNE ATTAQUE BASIQUE MAIS SURPUISSANTE GRÂCE AUX OBJETS CONNECTÉS.

Ce qui est notable ici, c’est qu’il ne s’agissait pas d’une attaque sophistiquée, soigneusement mise en œuvre par un groupe d’experts.

Non, il s’agissait d’une attaque par déni de service distribué (DDoS), autrement dit une attaque ayant pour but de rendre un service indisponible en le noyant d’informations inutiles s’appuyant principalement sur le botnet Mirai, qu’a identifié le cabinet d’analyse Flashpoint.

4.1. Mirai, Comment ça marche ?

Mirai s’attaque aux objets connectés, son fonctionnement est simple. Il parcourt internet en cherchant à se connecter à toutes les adresses telnet qu’il trouve avec une liste de logins/mots de passe par défaut (dont le classique admin/admin).

Une fois l’appareil infecté, Mirai bloque certains ports pour empêcher qu’on en reprenne le contrôle. Le malware est basique, rapide, efficace, et surtout disponible gratuitement pour quiconque souhaite s’amuser avec, car son créateur en a rendu le code public. De plus, contrairement aux ordinateurs, un botnet d’objets connectés n’a aucune utilité réelle autre qu’effectuer des attaques par déni de service.

Le fait que les objets connectés ont tendance à être allumés 24h/24 et 7j/7 facile aussi son usage.

5. Caméras et enregistreurs numériques en cause

Le résultat est une arme dont la puissance est absolument démesurée par rapport à son accessibilité. 

En septembre 2016, le blog du journaliste spécialisé Brian Krebs avait été frappé par une attaque record atteignant un débit de 620 Gb/s. Une semaine plus tard, c’est l’hébergeur français OVH qui avait été visé, avec une puissance de frappe estimée à 1,5 Tb/s. L’attaque contre Dyn, survenue un mois plus tard, semble être à nouveau montée d’un cran. Quels sont les objets connectés utilisés par Mirai ?

On y trouve beaucoup de caméras de surveillance et d’enregistreurs numériques (DVR), principalement fabriquées par une seule entreprise : Hangzhou XiongMai Technology. A noter que d’autres botnets pourraient également avoir participé à l’attaque. On connaît l’existence d’au moins un autre malware au fonctionnement similaire à Mirai, baptisé Bashlight.

Le problème est que ces appareils sont pratiquement impossibles à protéger en l’état. Pour une partie d’entre eux, les identifiants sont codés « en dur » dans le firmware et ne sont pas modifiables. Et même pour les autres, le fait qu’ils utilisent le protocole telnet (en ligne de commande, sans interface graphique) les rend difficile à configurer pour les utilisateurs.

D’après une analyse de Flashpoint, plus de 515 000 objets connectés seraient aujourd’hui vulnérables et susceptibles d’être incorporés dans un botnet. Certains experts ont proposé des solutions radicales, notamment de développer un malware plus rapide que Mirai, capable d’infecter un objet connecté vulnérable avant lui lors d’un redémarrage de ce dernier, et de le saboter pour le mettre définitivement hors service. Une mesure aussi drastique qu’illégale, mais qui souligne à quel point la situation désempare l’industrie.

Il y a eu beaucoup de mises en garde face au danger que représente l’Internet des Objets, mais, comme souvent, celles-ci n’ont servi à rien. Puisqu’il est clair que l’essor des objets connectés n’est pas prêt de s’arrêter, il est impératif que les acteurs majeurs de cette industrie mettent en place des normes et des bonnes pratiques au plus tôt, faute de quoi l’Internet des Objets continuera à scléroser l’Internet tout court, et ce de plus en plus souvent.

5.1. IoTroop

Selon Check Point, un nouveau malware a infecté des millions d’objets connectés. Un puissant botnet dont les attaques pourraient se montrer dévastatrices.

Check Point déclare avoir découvert un nouveau botnet massif au côté duquel Mirai ferait figure de hors-d’œuvre. Un botnet massif est en train de préparer une cyber-tempête qui pourrait faire tomber l’Internet Baptisé « IoTroop », le malware a été détecté fin septembre et aurait déjà contaminé un grand nombre d’objets. Check Point évoque des millions d’objets, sans plus de précision pour l’heure.

Mais Les caméras IP sans fil de GoAheadD-LinkTP-LinkAVTECHNetgearMikroTikLinksysSynology et d’autres sont les principales victimes. Tout comme le System Files Information Disclosure sous Linux.

5.2. Hajime

Le monde découvrait le botnet Hajime, qui signifie « commencer » (un mot bien connu des pratiquants de judo). Mais depuis, il a grossi et il effraie les experts en sécurité. Comme Mirai, il vise les objets connectés (routeurs domestiques, caméra de surveillance, enregistreur numérique) via des faiblesses de sécurité dans les protocoles et les firmwares.

Il a été observé pour la première fois en octobre dernier à l’occasion d’attaques DDoS menées avec Mirai. A cette époque, les éditeurs de sécurité avaient concentré leur attention sur Mirai et avait délaissé Hajime.

C’est un botnet modulaire à des fins curatives.

Symantec s’est penché sur ce botnet.  Une fois implanté sur les terminaux ciblés, via les ports Telnet ouverts ou l’exploitation de mots de passe par défaut, Hajime bloque l’accès à un certain nombre de ports (23, 7547, 5555 et 5358) afin de barrer la route à Mirai.

Un message du développeur de Hajime est là pour tranquilliser (ou tenter de tranquilliser) les personnes infectées : « Je suis seulement un hacker blanc tentant de sécuriser quelques systèmes », écrit-il. Le but de Hijame serait donc de protéger les objets connectés. En les infectant, Hijame utilise le protocole P2P pour communiquer avec les serveurs de contrôles.

Hajime s’étoffe et inquiète, mais cet altruisme pourrait n’être qu’une façade et les spécialistes de la sécurité commencent à s’alarmer de sa potentielle force de frappe. En effet, les dernières estimations montrent que le ver a réussi à infecter 300 000 objets connectés et pourrait se transformer en un botnet IoT très puissant. Kaspersky et Radware ont également analysé Hajime et le considèrent comme très sophistiqué.

6. Les risques constatés

Les pirates ont un objectif de créer un réseau zombie difficile à identifier pour attaquer une cible en masse pour des fins économique, idéologique ou personnelles. 

Le risque d’être infectés par le botnet est réel, il est valable aussi bien pour les ordinateurs que les objets connectés, parce que les botnets sont de plus en plus difficile à détecter, donc, de plus en plus sophistiquer. Nous savons aussi qu’une fois infecté, ce malware reste connecter à son serveur commanditaire et attendre les ordres d’attaque. L’infection, empêche la machine d’avoir un comportement normal, fonctionne en ralentit etc… donc une perte de productivité pour l’entreprise. Tant dis que les cibles attaquées, peuvent engendrer de graves problèmes économiques.

Donc, les botnet représentent une menace économique pour les entreprises. Il faut préparer pour se protéger, ou au moins limiter les risques éventuels d’être infectés.

7. Préconisation

7.1 Protection le système contre le Botnet sur l’ordinateur

Pour protéger le système ou limite les risques d’être infectés par les botnet, nous devons :

  • Installer un logiciel antivirus puissant, reconnu et digne de confiance sur l’ordinateur dans l’entreprise.
  • Configurer la mise à jour de vos logiciels antivirus et système uniquement sur le site de l’éditeur.
  • Bloquer l’utilisation de l’IRC, P2P, Port USB et lecteur amovible dans l’entreprise.
  • Scanner les pièces-jointes sur les emails ou limiter ou bloquer certains fichiers exécutables en pièce-jointe.

7.2. Autre façon d’être à l’abri de Botnet

Pour empêcher votre ordinateur de devenir le « zombie » d’une armée botnet, soyez toujours attentifs aux téléchargements suspects.

Ne cliquez pas sur des liens ou des pièces jointes envoyés depuis des adresses e-mail qui ne vous sont pas familières et soyez attentif à ce que vous téléchargez sur votre ordinateur.

Maintenez toujours vos logiciels et vos correctifs de sécurité à jour. Mais ce qui est encore plus important, c’est de vous protéger avec un antivirus puissant, qui empêchera votre système d’être infecté par des logiciels malveillants, qu’ils proviennent d’un botnet ou non.

7.3. Protéger les IoT contre le Botnet

Recommandations et Guide de sécurité pour l’IoT

A consulter:

https://www.owasp.org/index.php/IoT_Security_Guidance

https://connect.ed-diamond.com/MISC/MISC-084/Les-pentests-materiels-dans-les-environnements-IoT#2.2.Lepentestmat%C3%A9rieldansl’IoTTop10del’OWASP

https://docplayer.fr/40988764-La-securite-dans-l-iot-de-l-analyse-de-risques-aux-tests-d-intrusion.html

https://www.wavestone.com/app/uploads/2016/09/Objets-connectes-IoT-securite.pdf

 

Botnet

Laisser un commentaire

1.  Introduction

Ce document explique en profondeur sur le botnet qui a été conçu pour le but bien précis et qui nuit à la sécurité du système information. De nos jours, l’explosion de l’IOT dans notre vie, augmente considérablement le nombre potentiel des machines susceptibles d’être infecter par les botnets.

Les objets connectés ont encore de beaux jours devant eux, ce sont les objets que nous utilisons tous les jours et qui deviennent connectés ou high-techs : Tee-shirt, Montres, Chaussures, Lunettes, etc… Les objets high-techs, aussi appelées intelligents (smart), envahissent nos foyers.

Aujourd’hui faisant intégrante de notre vie quotidienne, leur utilité est indiscutable pour le côté pratique, ludique et technologique.

2.  Botnet

Les botnets ont été découverts par le grand public au début des années 2000. Quand un adolescent canadien a lancé une série d’attaques par déni de service contre plusieurs sites Web célèbres.

L’adolescent, connu sous le nom de Mafiaboy, a ciblé Yahoo, ETrade, Dell, eBay, Amazon et d’autres sites pendant plusieurs jours, en inondant les sites avec d’énormes quantités de trafic indésirable jusqu’à que leurs services crashent. Bien que Mafiaboy, dont le vrai nom est Michael Calce, n’a pas utilisé de botnet pour lancer ses attaques, mais c’est semblable au fonctionnement du botnet de nos jours.

Suite à cette incident, les experts en sécurité avaient averti que les botnets (un large réseau d’ordinateurs infectés par le même virus) peuvent faire des attaques DDoS et qui représentent une menace majeure pour la stabilité et l’intégrité d’Internet.

2.1. Définition

Un botnet (une contraction de la langue Anglais « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches.

2.2. Fonctionnalité

Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s’est étendu aux réseaux de machines zombies, utilisés notamment pour le minage de cryptomonnaies mais aussi des usages malveillants, comme l’envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS).

Aujourd’hui, ce nom est très souvent utilisé pour désigner un réseau de machines zombies, car l’IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l’usage premier de l’IRC.

2.3. Les botnets connus dans l’année 2000

Le premier d’entre eux qui fut référencé a été W32/Pretty.worm, appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d’Eggdrop et de GTbot. À l’époque, ils ne furent pas considérés comme très dangereux, et ce n’est qu’à partir de 2002 que plusieurs botnets malveillants (AgobotSDBot puis SpyBot en 2003) firent parler d’eux et que la menace prit de l’ampleur.

Toute machine connectée à internet est susceptible d’être une cible pour devenir une machine zombie : les machines Windows, qui représentent la majorité des machines contaminées, mais aussi, dans une moindre mesure, les machines Linux, Apple, voire consoles de jeu ou des routeurs.

2.4. Motivation des pirates

Plusieurs motivations sont possibles qui peuvent être, économique, idéologique ou personnelle.

L’objectif des pirates :

  • Relayer le spam pour du commerce illégal ou pour de la manipulation d’information.
  • Réaliser des opérations d’hameçonnage.
  • Identifier et infecter d’autres machines par diffusion de virus et de programmes malveillants (malware).
  • Participer à des attaques grouper de Deni de service (DDoS).
  • Génération de façon abusif des clics sur un lien publicitaire au sein d’une page Web (Fraude au clic).
  • Capturer de l’information sur les machines compromises (vol puis revente d’information).
  • Exploiter la puissance de calcul des machines ou effectuer des opérations de calcul distribué notamment pour cassage de mot de passe.
  • Voler des sessions utilisateurs par credential stuffing.
  • Mener des opérations de commerce illicite en gérant l’accès à des sites de ventes de produits interdits ou de contrefaçons via des techniques de fast flux, simple ou double-flux ou RockPhish.
  • Miner des cryptomonnaies, telles que le Bitcoin.

2.5. Les failles exploitées par les Botnets

Les botnets exploitent les failles via :

  • Un canal de commande et contrôle (C&C).
  • Canaux IRC (le premier historiquement), souvent sur un canal privé via des canaux décentralisés.
  • P2P, pour ne plus dépendre d’un nœud central.
  • HTTP (parfois via des canaux cachés 20), ce qui a pour principal avantage de ne plus exiger de connexion permanente comme pour les canaux IRC ou le P2P mais de se fondre dans le trafic web traditionnel.
  • Fonction du web 2, en faisant une simple recherche sur certains mots-clés afin d’identifier les ordres ou les centres de commandes auxquels le réseau doit se connecter.
  • Il a même été mis en évidence un réseau de botnets utilisant Twitter comme centre de commande et de contrôle.

2.6. Son cycle de vie

Un botnet comporte plusieurs phases de vie. Une conception modulaire lui permet de gérer ces phases avec une efficacité redoutable, surtout dès que la machine ciblée est compromise. La phase d’infection est bien évidemment toujours la première, mais l’enchaînement de ces phases n’est pas toujours linéaire, et dépend de la conception du botnet.

2.7. Méthode d’infection

C’est logiquement la phase initiale. La contamination passe souvent par l’installation d’un outil logiciel primaire, qui n’est pas forcément l’outil final. Cette contamination de la machine utilise les mécanismes classiques d’infection :

  • Virus, qui peut prendre la forme de logiciel malveillant.
    • Logiciel en pièce-jointe.
    • Cheval de Troie (fichier d’apparence anodine, comme des applications ou des fichiers classiques.
    • Failles de navigateur ou de logiciel.
    • P2P où le code malveillant se fait passer pour un fichier valide.
    • Intentionnel comme les botnets locaux qui multiplie généralement les processus de flood.

Combiné avec une action d’ingénierie sociale pour tromper l’utilisateur.

Une fois installé, cette base logicielle peut déclarer la machine à un centre de contrôle, qui la considération alors comme active. C’est une des clés du concept de botnet. Cette machine infectée peut être contrôler à distance par une ou plusieurs machine tierce. Dans certain cas, d’autres phases sont nécessaires (autoprotection, mise à jour, etc…) pour être opérationnelle.

2.8. Reconnaître les machines infectées

Vous pouvez reconnaître un ordinateur infecté par un botnet sensiblement de la même façon dont vous pouvez identifier un ordinateur infecté par d’autres types de logiciels malveillants.

Les signes comportent un ordinateur fonctionnant lentement, se comportant bizarrement, donnant des messages d’erreur ou dont le ventilateur se met soudainement en route alors que l’ordinateur est inactif. Tous ces signes sont les symptômes possibles de l’utilisation à distance de votre ordinateur dans le cadre d’un réseau de bots.

2.9. Comment retirer le Botnet du système s’il est infecté ?

Pour retirer un PC d’un réseau de botnet, vous devez supprimer le logiciel malveillant qui le contrôle. La meilleure façon de le faire est d’exécuter une analyse antivirus de votre ordinateur. Celle-ci devrait localiser le logiciel malveillant du botnet, puis le supprimer pour vous, une solution facile pour un problème sérieux.