La Scurit Informatique en 5 minutes

1
La Sécurité Informatique en 5 minutes

• Présentation
• 15 Janvier 2008

2

• Sommaire
• Orcanthus
• Éléments clefs
• Date clefs
• Pérennité
• Les risques
• Les solutions
• Comment procéder ?
• Le Coût et le R.S.I. (R.O.I.)
• Les Références

3
Éléments Clefs

• Id3 semiconductors (maison mère)
• Activité Laboratoire de RD
• Création 1990
• Capital 200000 euros
• Effectif en 2008 38 dont 70 dingénieurs
• C.A. 37 M euros
• RD 20 du C.A.
• Spécialité imagerie, capteur communicant,
  biométrie, radio, micro-électronique
• Une filiale Orcanthus

4
Éléments Clefs

• Orcanthus
• Activité Fabricant
• Création 2002
• Capital 26000 euros
• Effectif en 2008 2
• C.A. 600 k euros
• Présence internationale Canada, USA, Mexique,
  Brésil, Afrique du Sud, Sénégal, Danemark,
  Allemagne, Suisse, Italie, Slovénie, Pologne,
  Japon.
• Produits lecteur dempreinte digitale, lecteur
  sans contact, control daccès logique, control
  daccès physique et traçabilité.

5
Dates Clefs

• 1998
• collaboration avec Thomson-CSF pour le premier
  capteur thermique à balayage
• 1999
• Première mondiale lecteur dempreinte et
  lecteur de carte à puce combiné avec la solution
   Full in card matching .
• 2002
• naissance du lecteur Biothentic et du pack
  Biothentic Gull (log on de PC sur  Full in card
  matching  et possibilité de PKI
• 2003
• naissance du lecteur CeRtiS et du pack CeRtiS
  Gull (log on de PC) sous Windows
• 2004
• évolution de CeRtiS Gull (log on de PC et SSO)
  sous Windows
• 2005
• Disponibilité dun driver Linux pour lecteur
  CeRtiS image
• Naissance du lecteur CL1356 T et C lecteur de
  passeport électronique ICAO le plus rapide au
  monde
• Mise a disposition du Pack CeRtiS HAWK (log on
  de PC, SSO personnel, SSO entreprise) avec token
  soft
• 2006
• Mise à disposition du Pack CeRtiS Hawk avec
  token Hard (contact et ou sans contact)
• 2007
• Naissance du lecteur CL868i
• Nouvelle génération de CeRtiS Bio

6
Pérennité

• Rentabilité et seuil de performance sans cesse en
  croissance
• Aucun endettement
• Équipe de développements RD et de consultants
  expérimentés depuis lorigine

7
Les Risques

• Quelques chiffres

Perdus/Volés 714,000 aux USA en 2003 31,400
plaintes déposées ces 6 derniers mois
Perdus/Volés 942,000 aux USA en 2003 200,000
plaintes déposées ces 6 derniers mois
Téléphones
Assistants Numériques (PDA)
Perdus/Volés 673,000 en 2003 11,300 plaintes
déposées ces 6 derniers mois
Perdus/Volés 520,000 en 2003
Portables
PC
8
Piratage de Pirate

• Terminologie de base
• White hat
• Black hat
• Red teams
• Phreaking
• Script Kiddies
• HackersCrackers

9
et on peut aussi parler de

• Cheval de Troie
• Craqueur de mot de passe
• Analyse de fichier Log
• Technique de données cachées
• Vol de données sur réseau radio
• Spoofing
• Ping on Death (demande decho ICMP)
• Smurf (ping 3-way)
• Et plus encore

10
Attaques et menaces

• Types dattaques
• Espiègle
• Malicieuse
• Vol de données
• Interruption dopération
• Revanche
• Problèmes personnels
• intentionnelle
• Tester votre sécurité

11
Vulnérabilités niveau 1

• Corruption
• DNS USA hors service pendant 8 hrs- 1998
• ILOVEYOU mobile et mutant 2000
• Dénégation de service
• Melissa 1999
• E-commerce 2000
• Fuite dinformation
• KLEZ enregistreur de frappe - 2002
• Directeur de la CIA avec des Données classées sur
  son PC familiale
• Aldrige AMES (CIA) espion pour la Russie - 1973

12
Classifications

• Activistes
• Club dInitiés
• Compétition
• Consultants
• Cinglés à louer
• Cinglés
• Clients
• Cyber-criminels
• Gens malades
• Cartels de drogue
• Économique
• Agent étranger et espions
• Fraudeurs
• Coalitions Mondiales
• Agences gouvernementales
• Pirates informatique
• Truands
• Experts en espionnage Industriel
• Informations militaires

• Infrastructures militaires
• Initié (interne)
• Personnel de maintenance
• Fondateur de Microsoft
• Organisations militaires
• Nations, états
• Nature
• Crime organisé
• Groupes Paramilitaire
• Police
• Détectives Privé
• Voleurs Professionnels
• Reporters
• Terroristes
• Bandes organisées
• Vandales
• Vendeurs
• Agent de circulation

13
Classification (daprès Fred Cohen associates)

• Attaque 17 plongeur en ordures/poubelle PC
• Attaque 21 ingénierie humaine
• Attaque 25 insertion pendant le transit
• Attaque 26 observation pendant le transit
• Attaque 27 modification pendant le transit
• Attaque 35 notice dexploitation inexacte
• Attaque 48 carotteur de données
• Attaque 49 bug Van Eck
• Attaque 55 surfer par dessus lépaule
• Attaque 56 rassemblement de données

14
Classification (suite)

• Attaque 58 attaque du contenu
• Attaque 61 hang-up hooking (TCP SYN)
• Attaque 63 débordement de données (buffer
  overflow)
• Attaque 64 insertion de valeur illégale (neg.
  dates)
• Attaque 69 introduction de défaut de charge
  (reroute)
• Attaque 71 fausse mise à jour
• Attaque 72 attaque de réseau et de protocole
• Attaque 73 distribution dattaques organisées
• Attaque 74 intermédiaire
• Attaque 84 attaque sous le seuil
• Attaque 93 attaque au salami
• etc .

15
La solution

• 1. Connaître son réseau
• 2. Analyser son trafic
• 3. Mise en place dune authentification forte
  (trois facteurs)
• 4. instaurer des règles de sécurité, informer les
  utilisateurs, et appliquer les règles à la
  lettre
• 5. Connaître ses voisins
• 6. vérifier régulièrement les logs
• 7. faire une copie régulière des données et sous
  bonne garde
• 8. mettre des filtres puissants
• 9. Ne pas croire que ça narrive quaux autres
• 10. Savoir qui appeler en cas durgence

16
Oui, mais .

• Retour à l'article
• Sécurité
• Les mots de passe informatiques dans les
  entreprises encore des efforts à faire !
• C'est bien connu les plus grandes menaces pour
  la sécurité informatique des entreprises viennent
  des utilisateurs eux-mêmes. Le spécialiste de la
  sécurité des données Safenet vient de publier une
  étude sur l'utilisation des mots de passe au sein
  des entreprises. Elle est le résultat d'enquêtes
  menées en France, en Allemagne, au Royaume-Uni et
  aux Etats-Unis auprès de 67 000 personnes.
• Par rapport à 2003, il apparaît que 68 des
  entreprises consultées ont renforcé leur
  politique de sécurité en exigeant des mots de
  passe de plus en plus longs ou de plus en plus
  compliqués d'une année sur l'autre. La plupart
  des personnes interrogées ( 30 ) doivent
  désormais renouveler leurs mots de passe jusqu'à
  sept fois et plus par an . En France, les
  résultats montrent une augmentation de 4 des
  employés contraints de changer de mot de passe
  cinq à six fois par an et le nombre de ceux ne
  changeant jamais leurs mots de passe a diminué de
  3 .
• La complexité croissante des mots de passe se
  manifeste d'une part par l' augmentation du
  nombre de caractères et, d'autre part, par
  l'introduction croissante de composantes
  alphanumériques . En 2004, 29 des employés
  interrogés utilisent des mots de passe avec des
  composantes alphanumériques contre 27 en 2003.
  26 des entreprises utilisent des mots de passe
  de huit caractères et plus . La France enregistre
  ainsi la plus forte croissance parmi les pays
  représentés avec 5 d'augmentation.
• Tous ces chiffres témoignent d'une importante
  prise de conscience de l'importance des mots de
  passe. Pourtant, l'augmentation de la longueur et
  la complexification des mots de passe ne sont pas
  toujours positives. Selon l'étude de SafeNet, 47
  des personnes interrogées ont de cinq à dix
  mots de passe différents pour accéder aux
  applications de leur entreprise. Avec des mots de
  passe de plus en plus longs, compliqués et
  renouvelés plus souvent, les risques en termes
  d'utilisation sont accrus les utilisateurs sont
  en effet souvent amenés à les noter sur un papier
  ou les oublient tout simplement.
• 65 des personnes interrogées affirment ne
  jamais partager leurs mots de passe avec autrui
  (soit une augmentation de 6 par rapport à 2003)
  et 35 seulement l'ont communiqué (soit une
  diminution de 6 ). En France, contrairement aux
  autres pays, SafeNet a constaté une augmentation
  des utilisateurs qui notent leurs mots de passe.
  Ainsi, dans une entreprise de 1000 personnes, 500
  écrivent les mots de passe et 350 le communiquent
  à autrui !
• (Atelier groupe BNP Paribas - 10/03/2005)

17
Une réponse en 5 minutes

• CeRtiS HAWK avec Token
• Log on avec authentification 3 facteurs
• Ce que je sais
• Ce que jai
• Ce que je suis
• SSO (Single Sign On) simple et efficace

18
Un SSO pour quoi ?

• La prolifération de mots de passe, conséquence
  dune politique de sécurité OBLIGATOIRE,
  complique les conditions de travail de
  lutilisateur.
• Cela entraîne, une rupture des règles de
  sécurité, et engendre des coûts pouvant
  atteindre des sommes astronomiques.
• Un SSO va répondre à vos besoins en matière de
  sécurité pour
• Protéger toutes vos données
• Protéger tous vos accès logiques
• Gérer les mots de passe
• Sans que cela ne coûte (estimation 2006 150
  euros par an et par personne)
• Sans que cela ne soit contraignant
• Sans que cela ne soit falsifiable
• Sans que cela ne soit copiable
• Sans que cela ne soit transmissible

19
Un SSO pour qui ?

• Au sein de l'entreprise, la valeur associée au
  Single Sign-On (SSO) est souvent limitée au
  confort qu'il apporte aux utilisateurs, leur
  permettant de se libérer de la contrainte de la
  gestion de multiples identifiants et mots de
  passe.
• Cependant, le SSO apporte de réels gains dans les
  domaines de la productivité des services
  informatiques ainsi que dans le domaine de la
  politique de sécurité.
• Pour les services informatiques, il permet par
  exemple de réduire jusqu'à 30 la charge de Help
  desk.
• Les analyses ont effectivement démontré que, sans
  SSO, 30 des appels à un help-desk concernent un
  problème de perte d'identifiant ou de mot de
  passe.
• Pour la politique de sécurité, un SSO permet de
  limiter le nombre de mots de passe triviaux ou
  affichés sur un Post-IT sur l'écran du poste de
  travail.

20
Un SSO surtout

• En environnement Microsoft, Windows 2000 et
  Windows 2003 fournissent une gestion des
  utilisateurs via la console Active Directory et
  un SSO vers toutes les applications Microsoft
  basées sur Kerberos.
• Les clients Windows 2000/2003 se connectent de
  manière transparente aux applications basées sur
  Kerberos comme Microsoft IIS ou aux applications
  basées sur SSPI dans des domaines Windows 2000.
• Cependant, les utilisateurs de Windows ne peuvent
  pas se connecter automatiquement à des
  applications non-Kerberos comme par exemple, les
  émulateurs mainframe, les multi-logins SAP R/3,
  Lotus Notes, les applications sous Apache,
  WebSphere et les applications Unix ou Linux.
• Avec un SSO de type HAWK, ou EAGLE, vous pouvez
  étendre l'authentification Microsoft Kerberos à
  toutes les applications du système d'information.

21
Attention !

• Le système d'information des entreprises devient
  l'objet de plus en plus fréquent de lois et
  réglementations.
• Au-delà des simples normes et standards de type
  ISO qui ont jalonné le développement des
  nouvelles architectures, le législateur s'est
  intéressé à la relation entre l'utilisation de
  l'informatique par les organisations et son
  impact sur les processus opérationnels.
• Les lois et réglementations assurant la
  protection des données privées des clients et
  prospects ont eu le plus large écho ces dernières
  années. Le développement de la messagerie et
  l'application des méthodes de Marketing Direct
  ont relancé le débat à tous les niveaux.
• Cependant, il existe de nombreux autres cas de
  lois définies par le législateur s'appliquant au
  système d'information.
• Avec un "SSO Sécurisé" on peut aider à répondre
  aux exigences légales.

22
Comment procéder

• 1 - Remplir une demande dautorisation aupres de
  la CNIL
• Dune manière générale, la CNIL nautorise que
  les dispositifs où lempreinte digitale est
  enregistrée exclusivement sur un support
  individuel (carte à puce, clé USB), et non dans
  une base centralisée.
• Ça peut faire mal !
• Le non accomplissement des formalités auprès de
  la CNIL est passible de  5 ans d'emprisonnement
  et 300 000 d'amende.
• La CNIL a récemment mis en demeure  une société
  ayant mis en uvre un dispositif de contrôle
  daccès basé sur lempreinte digitale sans son
  autorisation préalable.

23
Comment procéder

• 2 Installer un CeRtiS Hawk avec Hard token
  (pour la CNIL) sur chaque station
• 3 enrôler chaque utilisateur sous lil
  vigilant de ladministrateur
• 4 continuer à travailler
• À ce stade, vous avez rejoint le club des
  utilisateurs de CeRtiS

24
Le coût et le R.S.I. (ROI)
25
Les Références

• Mécanique
• Gunebo Deutschland, WAB Sicherheitssysteme,
• Agroalimentaire
• Agrimol, Cash n' carry, Maxims, Fairfield
  Dairies, Landskron Farm, Rolou Farm,
• Médical
• Sebokeng Hospital, Jaques Persat, MSE,
• Textile
• Boston Laundry, Fibre logic,
• Hôtellerie
• Aventura Resorts,
• Minier
• Oil Co, De Bears,
• Transport, courrier
• HRP, Sun UTI, Prodata
• Electronique
• Sonae, Sagem, ATMEL, STM, Chronix, fujitsu,
  Silicomp, NASA, Ingenico
• Imprimerie
• Mithratech, Minit Print, Universal Web, François
  Charles Oberthur,

• Industrie du caoutchouc, plastique
• Palmer Rubber, Veloflex, Xactics Plastics,
  Everest Flexibles,
• Parfumerie négoce
• Gazzaz,
• Bancaire
• Caisse dépargne de Côte divoire, Banque
  Santander,
• Carte didentité
• Costa Rica gvt, Guinée gvt, Salvador gvt.
• Intégrateur, développeur
• Avencis, Idactis, Keyvelopp, sigillum, Chaka
  group, IBM, SCB, AKURA, Scrypto, Be smart
  Ultimobyte,
• Militaire
• armée Française (site stratégiques), Armée
  Danoise,
• Encarteur
• Giesecke Devrient ,Oberthur Card system,
  Gemalto, FCO, HI,
• Autres
• Les plus Hautes instances du gouvernement Français

26

• Maintenant cest à vous de choisir.
• Merci de votre attention
• Luc DEVAUX - Luc.devaux_at_orcanthus.com