Copyright © 2007 – SecurityKernel Sensibilisation à la Sécurité : Internet.
Download
Report
Transcript Copyright © 2007 – SecurityKernel Sensibilisation à la Sécurité : Internet.
Copyright © 2007 – SecurityKernel
1
Sensibilisation à la Sécurité : Internet
2
Qui suis-je ?
Copyright © 2007 – SecurityKernel
Certifié CISSP (Certified Information System Security Professionals), dispensé par
l’ISC2. Cette certification implique:
La réussite d’un examen couvrant les principaux domaines de la sécurité
Une expérience professionnelle de 3 ans minimum dans la sécurité des systemes
d’information
Un renouvellement tous les 3 ans si les activités liées à la sécurité sur cette
période sont suffisantes (formation continue, écriture d’articles ou livres,
organisation de sessions de sensibilisation/formation …)
Luc Roubat
[email protected]
Copyright © 2007 – SecurityKernel
3
Tour de table
4
Agenda
Petits rappels sur Internet
Principes généraux
Apports positifs d’Internet (Rappel des principaux protocoles)
Facilité d’exploration
Facilité de communication
Copyright © 2007 – SecurityKernel
Disponibilité de l’information
Les échanges non interactifs
Les échanges interactifs
Le partage de données
Consultation : multiplicité des clients
En temps réel par flux RSS
Disponibilité d’outils (Logiciels)
Bureau Virtuel
5
Agenda
Usage Responsable d’Internet
Intégrité/Confidentialité de l’information
Les moteurs de recherche
Les mails
Les mots de passe
La protection des données
Menaces
Copyright © 2007 – SecurityKernel
Protections : synthèse
Sauvegardes
Anti-…..
La loi
Virus
Vers
Spyware
Spam
Phishing
Hoaxes
Portes dérobées
Chevaux de Troie
Botnets
Responsabilité de l’utilisateur
Respect de la vie privée
Propriété intellectuelle
Responsabilité de l’administrateur
Conclusion …
“Seuls les paranoiaques survivront … “
6
Internet : principes généraux
HTTP : Hypertext Transfert Protocol
HTML : Hypertext Markup Language
MonInfo.html
83.68.200.22
83.68.200.23
83.68.200.27
83.68.200.27
www.onserveur.com
Serveur
DNS
Copyright © 2007 – SecurityKernel
83.68.200.24
83.68.200.20
Client
83.68.200.21
83.68.200.28
83.68.200.26
1.
2.
Principe de base d’internet : 2 ordinateurs connectés par des réseaux
mondiaux, comme ils le seraient sur un réseau local (seule la
techologie utilisée pour les connecter est différente)
1. Le serveur dispence un service
2. Le client qui utilise se service
3. Un protocole permet les transferts nécessaires
Etendue d’internet : Internet est un réseau mondial . Le nombre de
clients et de serveurs ne cesse de croitre chaque jour
83.68.200.25
1.
2.
3.
4.
Comment un client sait a quel serveur s’adresser ? Gràace à
l’adressage !
Mais aussi au …routage !
La résolution de noms : le DNS
Example d’URL : http://www.monserveur.com/MonInfo.html
équivalente à http://83.68.200.27/MonInfo.html
7
Internet : principes généraux
Travaux pratiques
Quelle est mon adresse IP ?
Quelle est mon adresse sur internet ?
Copyright © 2007 – SecurityKernel
http://www.google.com
Joindre google par une de ces adresse
Quelle est l’adresse de http://www.google.com
nslookup
Pourquoi tant d’adresses ?
Joindre google par son nom
http://www.ip-adress.com/
La résolution de nom
ipconfig
http://xx.yy.zz.zz
A qui appartient ce nom ?
http://www.whois.net
www.ac-grenoble.fr
Proxy anonymes
http://www.samair.ru/proxy/
8
Apports positifs d’Internet : Facilité d’exploration
Moteur de recherche / Référencement
Qu’est-ce ?
A quoi ça sert ?
Copyright © 2007 – SecurityKernel
Un moteur de recherche est un logiciel permettant de retrouver des ressources (pages Web, forums Usenet, images, vidéo, etc.)
associées à des mots quelconques. Certains sites Web offrent un moteur de recherche comme principale fonctionnalité ; on appelle
alors moteur de recherche le site lui-même.
Le
Le
Le
Le
moteur de recherche local à un site web
moteur de recherche permettant de retrouver des ressources présentes sur plusieurs sites
métamoteur de recherche
moteur local au PC
9
Apports positifs d’Internet : Facilité d’exploration
Moteur de recherche / Référencement
Le référencement : principe général des spiders
Le référencement : déclenchement
automatique ou manuel
Gratuit ou payant
Le référencement automatique : comment s’en protéger
Copyright © 2007 – SecurityKernel
Parcours des pages des sites accessibles en ligne
Extraction du contenu des pages
Association de mots clefs aux pages parcourues
Stockage des informations obtenues dans des bases de données
Indexation des informations pour en accélérer l’accés
Certaines pages d’un site peuvent être confidentielles….
Le fichier robots.txt, présent sur votre serveur web
Ce fichier va donner des indications au spider du moteur sur ce qu'il peut faire et ce qu'il ne doit pas faire
sur le site. Dès que le spider d'un moteur arrive sur un site (par exemple, http://www.monsite.com/), il va
rechercher le document présent à l'adresse http://www.monsite.com/robots.txt avant d'effectuer la
moindre "aspiration de document". Si ce fichier existe, il le lit et suit les indications qui y sont inscrites. S'il
ne le trouve pas, il commence son travail de lecture et de sauvegarde de la page HTML qu'il est venu
visiter, considérant qu'a priori rien ne lui est interdit. Il ne peut exister qu'un seul fichier robots.txt sur un
site, et il doit se trouver au niveau de la racine.
La structure d'un fichier robots.txt est la suivante :
User-agent: *
Disallow: /cgi-bin/
Disallow: /tempo/
Disallow: /perso/
Disallow: /entravaux/
Disallow: /abonnes/prix.html
Dans cet exemple :
User-agent: * signifie que l'accès est accordé à tous les agents (tous les spiders), quels qu'ils soient. Le robot n'ira pas explorer les
répertoires /cgi-bin/, /tempo/, /perso/ et /entravaux/ du serveur ni le fichier /abonnes/prix.html
10
Apports positifs d’Internet : Facilité d’exploration
Travaux pratiques
Un meta moteur de recherche
Référencement non maitrisé ?
Copyright © 2007 – SecurityKernel
http://www.kartoo.com
filetype:xls inurl:"email.xls"
"not for distribution" confidential
inurl:"printer/main.html" intext:"settings" Brother HL printers
intitle:"Dell Laser Printer" ews Dell printers with EWS technology
inurl:hp/device/this.LCDispatcher HP printers
intitle:"EvoCam" inurl:"webcam.html"
11
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Mails
Principe général
Le courrier est adressé dans la boite aux lettres du serveur de mail qui le stocke
Le courrier peut-être consulté directement sur le serveur ou depuis un client dédié (outlook, thunderbird, …)
Lors de la consultation, le courrier peut être laissé sur le serveur ou rapatrié sur son ordinateur (et effacé sur le serveur)
Le courrier n’est consultable « hors ligne » que s’il a été au préalable rapatrié sur son ordinateur
Protocole
Le protocole SMTP (Simple Mail Transfer Protocole) permet d’envoyer instantanément, partout dans le monde, un message
à qui possède une adresse e-mail
Copyright © 2007 – SecurityKernel
Serveur Mail
Securitykernel.eu
Protocole SMTP
Protocole POP
Mail to: [email protected]
Mail from : [email protected]
bob
blablablabla
12
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Mails
Copyright © 2007 – SecurityKernel
Serveur Mail
Securitykernel.eu
Protocole SMTP
Protocole HTTP
Mail to: [email protected]
Mail from : [email protected]
bob
blablablabla
13
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Mail
Copyright © 2007 – SecurityKernel
POP(Post Office Protocol)
IMAP(Internet Message Access Protocol)
Web Mail
Nécessite un client lourd (dédié) type
Outlook, Thunderbird, …
Nécessite un client lourd (dédié) type Outlook,
Thunderbird, …
Aucun client dédié nécessaire (simple
browser http)
Adapté aux utilisateurs utilisant un ordinateur
dédié pour lire leurs emails
Adapté aux utilisateurs qui utilisent plusieurs ordinateurs
pour lire leurs mails.
Particulièrement adapté pour consulter les mails
depuis n’importe ou puisque tout reste sur le
serveur et que le client est un simple browser
Transfère les mails sur l’ordinateur client, les
messages restent accessibles même si la connexion
avec le serveur de mail est interrompue.
Les mails sont stockés sur le serveur pour permettre
l’accès depuis plusieurs ordinateurs clients. Les messages
presants sur le serveur ne peuvent être consultés en cas
de non connexion avec le serveur
Les mails sont toujours stockés sur le serveur, rien
n’est transféré en local, une connexion
opérationnelle avec le serveur est impérative
La taille totale des archives stockées est limitée à la
taille du stockage disponible sur le PC client
En général l’administratreur du serveur met en place des
quotas qui imposent une limite sur la taille totale des
mails archivés.
En général l’administratreur du serveur met en
place des quotas qui imposent une limite sur la
taille totale des mails archivés.
14
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Mails
IMAP
HTTP
POPs
IMAPs
HTTPs
Protocoles sécurisés
Copyright © 2007 – SecurityKernel
Sécurisé
POP
Sans protocoles sécurisés l’ensemble des messages échangés circulent sur les réseaux en CLAIR. TOUT PERSONNE
CAPABLE DE « D’OBSERVER» LES ECHANGES RESEAUX PEUVENT LIRE LE CONTENU DES MAILS ….LE MODIFIER ….
En utilisant les protocoles en version sécurisée les messages sont transmis sur le réseau encryptés. Un personne observant
le trafic réseau ne peut pas simplement les consulter.
Sans utiliser de protocole sécurisé, il est possible de crypter les messages ou les pièces jointes afin de s’assurer du respect
de la confidentialité des données échangées.
Il existe des techniques de signature (certificats) permettant de s’assurer :
Que l’expéditeur du mail est bien celui qu’on pense
Serveur Mail
Que le contenu du mail n’a pas été modifié
Securitykernel.eu
Que le contenu du mail n’a pas été consulté
Protocole SMTP
Mail to: [email protected]
Mail from : [email protected]
bob
blablablabla
Apports positifs d’Internet : Facilité de communication
Observation protocole non securisé
hub
switch
Copyright © 2007 – SecurityKernel
Réseau local
15
16
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Forums de discussion ou « newsgroups »
Présentation
Forums ou « newsgroup » : Ensemble d’articles thématiques, figurant dans Usenet ; chacun peut consulter librement ou
participer en envoyant un message (discussion ou question ou réponse). Il y a près de 70.000 forums dans le monde …
Article ou « news » : message à l’intérieur d’un forum
Usenet : réseau d’ordinateurs qui s’échange des informations sur l’ensemble des newgroups
Principe
Copyright © 2007 – SecurityKernel
Il n'existe pas d'endroit précis où sont stockées toutes les données de l'Usenet. Chaque fournisseur d’accès propose son
" serveur de News " .Ce serveur reçoit en permanence des news ("newsfeed") d'autres serveurs qui s ‘échangent leurs
messages. Chaque serveur conserve un temps limité tous les messages. Aucun serveur ne peut proposer tous les
newsgroups d'ailleurs chaque administrateur est libre d'accepter ou non certains groupes, il ne distribue qu'une sélection de
forums.
Le protocole NTTP (Network News Transfert Protocole) es utilsé pour les échanges serveurs/serveurs et clients/serveurs
Stockage
newsgroups locaux/repliqués
durée locale
Echanges
(réplication partielle)
Stockage
newsgroups locaux/repliqués
durée locale
Stockage
newsgroups locaux/repliqués
durée locale
Echanges
(réplication partielle)
Publication (post)
des news
Consultation
des news
Publication (post)
des news
alt.medecine.divers
edu.exams.templates
edu.exams.results
alt.helpdesk.support
Consultation
des news
alt.medecine.divers
edu.exams.templates
edu.exams.results
local.ac-grenoble.news
17
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Forums de discussion ou « newsgroups »
Les clients
Les principales fonction des logiciels clients
Copyright © 2007 – SecurityKernel
Consulter la liste des forums
Accéder à un forum puis accéder à un article afin de lire son contenu.
S’abonner à des forums, pour ne retenir que la liste des groupes intéressants (et éviter de tout parcourir !)
Lire les articles (news) qui comprennent un titre (tittle) et un corps (body). Les réponses sont précédées de "Re"
Participer au forum en envoyant, au groupe, un nouvel article... ou, en répondant à un article existant pour le groupe, …
enfin, en adressant une réponse personnelle à l’auteur par le courrier électronique.
La groupes « modérés »
De messagerie standard (Outlook, thundirbird)
Dédiés (Grabit, Newsleecher …)
Les navigateurs
Des forums sont dits " modérés " s’ils sont contrôlés par un "modérateur" pour éviter la publication de tout propos non
adaptés à la nature du forum
Plusieurs contrôles sont possibles :
contrôle à postériori des articles postés avec mise en garde et suppression éventuelle
contrôle à priori : les articles n’apparaissent dans le groupe qu’une fois validés par le modérateur
Quelques termes à connaitre
Body: Corps de l'article
Charte : règles de fonctionnement d'un forum
FAQ: foire aux questions
Header : titre d'un article
Modérateur : gérant d'un groupe
Smiley : caractères ASCII expressifs :-)
Spam : article, courrier posté massivement
Thread : ensemble formé par un article et tous les messages de réponse
Troll : provocateur de discussions polémiques
18
Apports positifs d’Internet : Facilité de communication
Travaux pratiques
Les newsgroups
Copyright © 2007 – SecurityKernel
http://www.google.com
Groupes
19
Apports positifs d’Internet : Facilité de communication
Les échanges non interactifs
Listes de diffusion
Principe
Liste d’adresses mails de personnes partageant un même centre d’intérêt
Les listes peuvent être en mode « push », par exemple les liste dans lesquelles les utilisateurs s’inscrivent pour recevoir
des informations sur un sujet donné. Le serveur envoie les informations à chaque adresse mail présente dans la liste
Les listes peuvent être « interactives » . Chaque membre de la liste, en envoyant un courrier (ou une réponse) à la liste
(adresse mail particulière), le transmet en fait à tous les membres de la liste (tous les membres recevront ce courrier).
Une liste est en fait une sorte d'énorme boite à lettres sur un thème précis.
Comme pour les forums, les listes peuvent être contrôlées par un modérateur
Les listes peuvent également être contrôlées en terme d’accès : ouvertes à tous ou restreintes aux membres
L’inscription
Elle se fait en général en deux temps
Demande d’inscription à la liste de diffusion
Interface web dédié
Emission d’un mail à l’adresse de la liste contenant le message « subscribe »
La liste retourne un mail à l’adresse mail du demandeur lui demandant de valider sont inscription (afin de
s’assurer de son identité )
En cliquant sur un lien contenu dans le mail
En répondant au mail sans le modifier
La suppression de l’abonnement à la liste se fait de manière équivalente (commande « unsubscribe , signoff » ou interface dédié puis
validation)
Copyright © 2007 – SecurityKernel
[email protected]
To : [email protected]
From : [email protected]
Blabla…
[email protected]
[email protected]
[email protected]
[email protected]
MaListe ([email protected])
ReplyTo : [email protected]
From : [email protected]
Blabla…
[email protected]
20
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
Le chat ou messagerie instantanée (IM)
Historique
Principe
Copyright © 2007 – SecurityKernel
La messagerie moderne grand public a été inventée en 1996 avec ICQ. Ce système proposant la gestion d'une
liste de contacts personnels a été mis au point par l’entreprise israélienne Mirabilis, ensuite rachetée par le
groupe AOL en 1998
Depuis le succès d'ICQ, de nombreux protocoles de communication incompatibles, ont été développés et
proposés gratuitement par des fournisseurs de contenu d'Internet, notamment Yahoo! Messenger en 1998 et
MSN Messenger en 1999.
Depuis 2004, Jabber/XMPP a été normalisé comme standard ouvert. Il est à ce jour le seul système normalisé
et est très activement développé par des grands noms de l'industrie informatique, comme Google, IBM, Sun.
La messagerie instantanée permet l'échange instantané de messages entre plusieurs ordinateurs connectés au
même réseau informatique, le plus courant étant l'Internet.
A la différence du courrier électronique, ce moyen de communication permet un dialogue interactif car les
messages s'affichent quasiment en temps réel sur l’écran.
Pour permettre l’échange de messages, un logiciel client se connecte à un serveur de messagerie instantanée
Dans les programmes récents de messagerie, le destinataire voit le message de l'expéditeur apparaître sur son
écran lorsque celui-ci le valide (alors qu’initialement chaque lettre apparaissait dès qu'elle était tapée par
l’interlocuteur).
La plupart des services actuels incluent un système de notification de présence, qui indique la disponibilité des
personnes de la liste de contacts. On peut ainsi savoir si ses contacts sont en ligne au moment où l’on se
connecte et si l’on peut discuter avec eux.
Il est généralement possible de régler un message de statut qui indique la cause d'une indisponibilité.
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
Le chat ou messagerie instantanée (IM)
Le réseau des serveurs constitue le point central de l’architecture.
L’ensemble des communications transite par le réseau des serveurs
pas de communications peer to peer directe entre les clients dans ce modèle de communication.
Evolution
Limitée dans un premier temps à l’échange de messages sous forme de texte, la messagerie instantan’ee a évolué en
intégrant les fonctionnalités de voix et de vidéo grâce à la webcam.
Elle propose désormais aussi toutes sortes d'applications collaboratives (tableau blanc, édition de texte, jeux), l'envoi de
messages automatiques et de notifications.
Copyright © 2007 – SecurityKernel
Serveur A
Client A
Affichage sur
Le client du statut des
contacts personnels
Envoi du message vers le Client B
a destination du serveur A
Serveur B
Client B
Affichage sur
Le client du statut des
contacts personnels
Reception du message du Client A
en provenance du serveur B
21
22
Apports positifs d’Internet : Facilité de
communication
Le partage de données
P2P (emule)
Principe
eMule est un logiciel de "Peer to Peer", c'est à dire un logiciel à l'aide duquel les utilisateurs se connectent directement
entre eux. L'échange d'un fichier se fait donc directement entre deux personnes : une possédant le fichier et l'autre le
demandant.
Chaque utilisateur désigne des répertoires contenant des fichiers à partager dans l’onglet "Shared" de son client. Ces
fichiers sont alors mis à la disposition de tous et peuvent être téléchargés par d’autres clients eMule.
Le client eMule est le programme eMule que vous utilisez
Il utilise une architecture basée sur des clients et sur des serveurs.
Seuls les clients reçoivent ou émettent des fichiers
Les serveurs ont pour unique rôle de mettre les clients en relation pour qu’ils puissent s’échanger des fichiers.
Fichier A
Fichier C
Fichier B
Copyright © 2007 – SecurityKernel
Bob
Fichier A: Bob, Alice
Fichier B : Bob
Fichier D : Alice
Fichier D
……
Fichier A
Alice
Fichier partagé
Envoie de la liste des fichiers partagés par le client
Echange d’informations sur les fichiers partages par le client
Qui a le fichier A ?
Bob et Alice
Donne moi le fichier A
Transfert du fichier A
23
Apports positifs d’Internet : Facilité de communication
Le partage de données
P2P (emule)
Principe
Risques
Copyright © 2007 – SecurityKernel
Bien sûr, de nombreuses personnes utilisent eMule, un fichier est donc souvent possédé par plusieurs personnes. Il est en général plus
rapide de charger un fichier à plusieurs personnes à la fois (avantage par rapport au téléchargement)
Sur le principe, eMule est donc un logiciel totalement légal comme tous les logiciels de peer to peer.
Attention à ce que l’on charge
Interdiction de transférer des œuvres protégées ou atteinte à la vie privée
Fichiers partagés souvent porteurs de virus et autres petites bêtes ….
Et encore plus à ce qu’on partage !!!!!!! …. Eviter le disque C: « pour ne pas s’embéter » ….
24
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
Consultation de sites d’informations
Les clients
Internet Explorer (payant)
Firefox (gratuit)
… et d’autres ….
Les pages statiques
Le principe d’une page statique est d’être construite une fois pour toute. Le contenu de la page est inchangé quel que soit
son contexte de visualisation
Le code de ces pages est écrit une fois pour toute, sous forme de fichier texte, généralement au format HTML (Hyper Text
Markup Langage)
Le protocole le plus utilisé pour échanger ces pages est le protocole HTTP (HyperText Transfer Protocole)
Copyright © 2007 – SecurityKernel
Serveur
MonInfo.html
Client
Réception et
Affichage sur
Le client sans
interprétation
25
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
Consultation de sites d’informations
Les pages dynamiques exécutées coté serveur
Le principe d'un page dynamique est d'être construite à la demande (à la volée) par le serveur en fonction de critères
spécifiques. La présentation et le contenu affichés peuvent ainsi être personnalisés de manière interactive, en fonction des
produits, des internautes, des langues, etc.
Alors que les pages statiques font appel au html, les pages dynamiques sont mises en œuvre grâce à un langage de
programmation. Grâce à lui, on pourra disposer d'instructions conditionnelles, de boucles et de fonctions de traitement
complexes. Le langage de programmation variera en fonction de la technologie retenue (PHP, ASP, AST.net, Java, Perl,
etc.). Le langage de programmation ne remplace pas le html, mais il en produit.
On reconnaît une page dynamique grâce à l'URL qui s'affiche dans le navigateur web de l'utilisateur:
page statique: http://www.monsite.org/accueil.html affiche la page accueil.htm, stockée telle quelle sur le
serveur,
page dynamique: http://www.monsite.org/accueil.php?langue=fr affiche la page accueil.php en demandant au
serveur d'afficher le contenu de cette page en français.
Copyright © 2007 – SecurityKernel
Serveur
<html>
Bonjour
</html>
Exécution de accueil.php
avec le parmètre langue=fr
Fabrication de la page
HTML correspondante
Accueil.php
Réception et
Affichage sur
Le client
Bonjour
Client
Si langue=fr alors menu=Bonjour
Si langue=us alors menu=Hello
…
26
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
Consultation de sites d’informations
Les pages dynamiques exécutées coté client
Ces pages dynamiques sont mises en œuvre grâce à des programmes exécutés côté client (avec les langages javascript ou
Java par exemple). Ces programmes permettent d'ajouter de l'interactivité et de l'animation sur les pages web.
Beaucoup de pages web contiennent des scripts en javascript qui s'exécutent sur l'ordinateur de l'internaute, par exemple
pour vérifier les données entrées dans un formulaire ou pour afficher une date, etc …
Copyright © 2007 – SecurityKernel
Accueil.html
<html>
<applet>
Si la souris passe sur le menu alors ouvrir les options
</applet>
Serveur
</html>
Exécution de l’applet (programme)
inclu dans Accueil.html SUR le client
(Ouverture menu si passage souris)
Client
27
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
Consultation de sites d’informations
Protocoles sécurisés (HTTPS)
Les informations échangées entre le serveur HTTP et le client circulent en CLAIR sur le réseau. Une personne capable
d’observer les échanges réseau entre le client et le server est capable de savoir ce qui est consulté.
En utilisant les protocoles sécurisés les échanges entre le serveur et le client sont cryptés, ce qui empêche de les consulter
facilement.
Il existe des méthodes, s’appuyant sur les techniques de cryptage, permettant de s’assurer que le site consulté est bien
celui qu’on croit…..
Copyright © 2007 – SecurityKernel
Serveur
MonInfo.html
Client
Réception et
Affichage sur
Le client sans
interprétation
28
Apports positifs d’Internet : Disponibilité de l’information
Travaux pratiques
Disponibilité de l’information
Copyright © 2007 – SecurityKernel
Consultation de sites d’informations
https://www.internet-mineurs.gouv.fr/
Vérifier le cadenas
Suivre « liens utiles » puis « ministère de la défense : plus de cadenas
Le site de l’académie est-il sécurisé ?
29
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
En temps réel par flux RSS
Principe
C’est pour répondre à la remarque :
"J'aimerais pouvoir être prévenu automatiquement des nouveautés
sur tel site, être tenu au courant de l'actualité ".
C’est tout simplement un fichier texte dont le contenu est produit
automatiquement en fonction des mises à jours d’un site web. Le contenu de ce
fichier est laissé au libre choix du producteur.
Copyright © 2007 – SecurityKernel
Le terme RSS (Realy Simple Syndication) désigne une convention de structuration de
ce fichier (il existe aussi Atom ou RDF). Ce standard garanti la possibilité d’être lu par
le plus grand nombre. La structuration RSS étant la plus courante, il n'est pas rare de
parler de "flux RSS", "fil RSS" voire "RSS" tout court.
Le principe de s'abonner à un ou des flux est appelé la syndication.
Un lecteur approprié (RSS reader) permet de lire ce fichier texte et de l’afficher sur votre ordinateur
De même, un webmaster peut décider, par un outil approprié, d'importer le contenu du "flux RSS" dans ses propres pages Web
30
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité de l’information
En temps réel par flux RSS
Copyright © 2007 – SecurityKernel
http://news.bbc.co.uk/
http://160.92.130.159/rss/mode_emploi/
31
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité d’outils (logiciels)
Logiciels libres (freeware)
Licence GNU GPL
Les droits garantis
Les termes de la GPL autorisent toute personne à recevoir une copie d'un travail sous GPL. Chaque
personne qui adhère aux termes et aux conditions de la GPL a la permission de modifier le travail, de
l'étudier et de redistribuer le travail ou un travail dérivé. Cette personne peut toucher de l'argent
pour ce service ou bien ne rien toucher. Ce dernier point distingue la GPL des autres licences de logiciels qui
interdisent la redistribution dans un but commercial. Stallman pense que le logiciel libre ne devrait pas placer de
restriction sur l'utilisation commerciale, et la GPL indique explicitement qu'un travail sous GPL peut-être
(re)vendu.
Copyright © 2007 – SecurityKernel
Le « gauche d'auteur »
La GPL ne donne pas à l'utilisateur des droits de redistribution sans limite. Le droit de redistribuer est garanti
seulement si l'utilisateur fournit le code source de la version modifiée. En outre, les copies
distribuées, incluant les modifications, doivent être aussi sous les termes de la GPL.
Cette condition est connue sous le nom de copyleft, et il obtient son origine légale du fait que le
programme est copyrighté. Puisqu'il est copyrighté, l'utilisateur n'a aucun droit de le modifier ou de le
redistribuer, sauf sous les termes du copyleft. On est obligé d'adhérer à la GPL si on souhaite exercer des droits
normalement limités (voire interdits) par le copyright, comme la redistribution. Ainsi, si on distribue des copies du
travail sans respecter les termes de la GPL (en gardant le code source secret par exemple), on peut être poursuivi
par l'auteur original en vertu du copyright.
Beaucoup de distributeurs de programmes sous GPL fournissent le code source avec l'exécutable.
Pour s'acquitter des obligations du copyleft, une autre possibilité est de fournir sur demande le code source sur
un support physique, par exemple un cédérom.
Le copyleft s'applique uniquement quand une personne veut redistribuer le programme. On est
autorisé à faire des versions modifiées privées, sans aucune obligation de divulguer les modifications effectuées
sur le programme s'il n'est distribué à personne.
32
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité d’outils (logiciels)
Logiciels libres (freeware)
Licence BSD
Copyright © 2007 – SecurityKernel
La licence BSD (Berkeley software distribution license) est une licence libre utilisée pour la distribution de
logiciels. Elle permet de réutiliser tout ou partie du logiciel sans restriction, qu'il soit intégré dans un logiciel
libre ou propriétaire.
Différence par rapport au domaine public
La licence BSD est l'une des moins restrictives dans le monde informatique et s'approche de la
notion de « domaine public ». Il faut toutefois noter des différences importantes :
La notion de domaine public varie selon les législations. En général, l'auteur doit être mort après un certain
nombre d'années pour que son œuvre tombe officiellement dans le domaine public.
la licence BSD impose certaines contraintes lors de la redistribution, ce qui n'est généralement pas le cas d'une
œuvre dans le domaine public ;
elle permet de protéger les auteurs quant à l'emploi de leur nom dans des produits dérivés ;
elle décharge les auteurs des éventuels problèmes connus ou inconnus liés à l'utilisation du code
Utilisation dans des logiciels propriétaires
La licence BSD permet l'utilisation commerciale dans des produits propriétaires. Les logiciels publiés
selon les termes de cette licence peuvent être incorporés dans des solutions propriétaires ou/et commerciales.
Les travaux basés sur des éléments sous licence BSD peuvent même être publiés sous une licence propriétaire
(qui doit toutefois respecter les clauses mentionnées dans la licence BSD). Parmi les exemples notoires, on peut
citer l'utilisation par Sun de code réseau sous BSD, et des composants en provenance de FreeBSD dans Mac OS
X.
Compatibilité avec d'autres licences libres
Le code sous licence BSD peut être publié sous licence GPL sans le consentement des auteurs
originaux puisque les termes de la GPL respectent tous ceux de la licence BSD. Mais l'inverse n'est
pas possible : du code sous licence GPL ne peut pas être mis sous licence BSD sans l'autorisation des auteurs
car la licence BSD ne respecte pas toutes les contraintes imposées par la licence GPL. En publiant du code GPL
sous licence BSD, on autoriserait par exemple la redistribution sans fournir le code source alors que c'est interdit
par les termes de la licence GPL.
33
Apports positifs d’Internet : Disponibilité de l’information
Disponibilité d’outils (logiciels)
Shareware (partagiciel)
Copyright © 2007 – SecurityKernel
peut être utilisé gratuitement et librement pendant une durée ou un nombre d'utilisations qui sont indiqués par
l'auteur. Cela permet de tester les fonctionnalités et voir si elles correspondent à ses besoins.
Au bout de cette période d'essai, il est possible soit de payer une contribution (souvent modique) et continuer à
utiliser le logiciel, soit de le désinstaller. Il est également permis de distribuer le logiciel à une autre personne,
toujours pour essai.
Hormis l'utilisation légale du produit, le paiement de la licence peut aussi débloquer un certain nombre de fonctionnalités jusqu'alors
inaccessibles comme la sauvegarde, la réception régulière de mises à jour, l'impression et, parfois, la possibilité de prendre contact
avec l'auteur.
Certains partagiciels se contentent de rappeler à intervalles plus ou moins fréquents, à l'aide par exemple d'alertes ou de dialogues,
que la période d'essai est échue.
Certains auteurs ne demandent que l'envoi d'une carte postale comme paiement de la licence. D'autres suggèrent simplement que
l'utilisateur verse une contribution à l'organisation charitable ou humanitaire de son choix
34
Apports positifs d’Internet : Disponibilité de l’information
Travaux Pratiques
Inkscape
Freeware : Mozilla Firefox
Il est couvert par la Mozilla Public Licence. Ce n’est pas la GPL (plus restrictive) mais cela s’en approche car il est
clairement mentionné que on peut le distribuer librement et que les sources sont disponibles.
http://www.mozilla.com/en-US/
Freeware : Avast Antivirus Home Edition
Copyright © 2007 – SecurityKernel
Sous Licence GPL
http://www.inkscape.org/ (FAQ)
http://sourceforge.net/ (download -> sources)
Ce n’est pas parc qu’il est indique « Freeware » au sens «gratuit» que c’est un produit couvert par une licence GPL
et livré avec ses sources. C’est un produit commercial avec un copyright mais dont l’éditeur a choisi de distribuer
gratuitement sa version « home edition ».
A priori, vous ne pouvez pas le distribuer vous-même, ni même l’utiliser dans le cadre de votre travail.
http://www.avast.com/eng/free_virus_protectio.html
Copyright © 2007 – SecurityKernel
Apports positifs d’Internet : L’avenir le bureau Virtuel
(Google par exemple)
Pas d’installation de logiciels “en local” sur le PC (Excel, OpenOffice ou autre …)
Seulement besoin d’un browser (Internet Explorer, Firefox ….) pour se connecter et disposer de ces outils …
35
36
Apports positifs d’Internet : L’avenir le bureau Virtuel
(Google par exemple)
Copyright © 2007 – SecurityKernel
HEBERGES PAR GOOGLE
SUR SES SERVEURS
Lecture (automatique)de vos mails pour publicités contextuelles
Stockage de vos fichiers (sauvegardes temporaires ou définitives sur les serveurs Google)
37
Usage responsable d’Internet : Intégrité de l’information
Esprit critique / Validité de l’information
Moteur de recherche / Référencement
Les moteurs référencent et indexent des pages qui sont produites par tous. Aucune validation de contenu
n’est effectuée par le moteur avant d’indexer la page. Les informations publiées peuvent donc être
erronées.
Les moteurs de recherche (comme Google) appartiennent à des sociétés commerciales :
Copyright © 2007 – SecurityKernel
Il est possible de demander le référencement gratuit d’un site dans Google, mais aucune garantie n’est fournie sur la date à
laquelle ce référencement sera effectué par le moteur.
Il est possible (souhaitable ?) de payer pour faire référencer ces pages de manière plus « efficace ».
Les pages référencées ne sont donc pas forcément les plus pertinentes.
Les référencements effectués par les moteurs de recherche sont des traitements INFORMATIQUES de
données INFORMATIQUES. Ces traitements peuvent filtrer/modifier/stocker et enfin indexer l’information
comme leurs AUTEURS le souhaitent.
http://images.google.com/images?q=tiananmen
38
Usage responsable d’Internet : intégrité de l’information
http://images.google.com/images?q=tiananmen
Copyright © 2007 – SecurityKernel
http://images.google.ch/images?q=tiananmen
39
Usage responsable d’Internet : intégrité de l’information
http://images.google.cn/images?q=tiananmen
Copyright © 2007 – SecurityKernel
http://images.google.fr/images?q=tiananmen
40
Usage responsable d’Internet : Intégrité de l’information
Copyright © 2007 – SecurityKernel
http://images.google.cn/images?q=tienanmen
Toujours vérifier l’information avec plusieurs sources
Usage responsable d’Internet : identité - confidentialité
Menaces
Fake Mail (Message Anonyme)
L’envoi de messages anonymes est rendu possible par le protocole smtp lui-même
(Simple Mail Tranfert Protocol) :
Copyright © 2007 – SecurityKernel
Comme déjà indiqué une adresse électronique est composée de 2 parties : un identifiant utilisateur
et un nom de domaine : [email protected] ou luc est le nom de l’utilisateur et
securitykernel.fr le nom de domaine.
Lors de l’envoi d’un message, notre serveur smtp utilise le DNS et lui demande quel est le serveur
de messagerie associé au nom de domaine – utilise le champ MX du DNS réservé a cet effet.
Ici pour securitykernel.fr il s’agit de mx00.1and1.fr et son @ip est 212.227.15.186
Le message est alors envoyé directement depuis notre serveur smtp vers mx00.1and1.fr, il est
alors directement traité par la file d’attente du serveur cible et placé dans la boite aux lettres de
l’utilisateur luc.
Comme décrit ci-dessous, aucun mécanisme de validation ni de l’émetteur ni de du destinataire
n’est intégré au protocole smtp. Chacun pouvant mettre en place un serveur smtp sur son propre
PC connecté à Internet, le début des problèmes n’est pas bien loin…
41
42
Copyright © 2007 – SecurityKernel
La
Protection des données
Travaux Pratiques
43
Usage responsable d’Internet : identité – confidentialité
Travaux Pratiques
Envoie d’un fake mail
Copyright © 2007 – SecurityKernel
# telnet smtp.ac-grenoble.fr 25
helo ac-grenoble
mail from:[email protected]
rcpt to:[email protected]
data
subject: Mon sujet de test
from: x y
to: a b
Texte libre
.
quit
Usage responsable d’Internet : identité - confidentialité
Menaces
Fake Mail (Message Anonyme)
Seul le recourt à des mécanismes de signature permet d’assurer l’identité des échanges
au travers du protocole de messagerie (type GnuPG ou PGP)
Ces mécanismes assurent également :
Copyright © 2007 – SecurityKernel
l’intégrité du message : le message n’a pas été modifié pendant son transport sur le net.
Le chiffrement du message : seul les destinataires sont capables de lire mon message
Néanmoins ces mécanismes ne sont aujourd’hui pas largement utilisés bien que
disponibles et assez faciles à mettre en œuvre.
44
45
Usage responsable d’Internet : identité - confidentialité
Menaces
Les Pop-up de certificats
Toujours vérifier que la page du site vous demandant des informations personnelles est
sécurisée. Dans ce cas, l'URL doit commencer par https:// (pour HyperText Transfer
Protocol Secure).
Lorsque vous arrivez sur une page sécurisée, votre navigateur vous en informe.
Internet Explorer affichera l'alerte suivante :
Copyright © 2007 – SecurityKernel
Avec Firefox, un message similaire s'affichera :
46
Usage responsable d’Internet : identité - confidentialité
Menaces
Les Pop-up de certificats
Lorsque vous quittez une zone sécurisée, le navigateur vous en informe :
Avec Internet Explorer
Copyright © 2007 – SecurityKernel
Avec Firefox
En zone sécurisée, Internet Explorer & Firefox affiche un petit cadenas fermé en bas à
droite.
47
Usage responsable d’Internet : identité - confidentialité
Menaces
Copyright © 2007 – SecurityKernel
Les Pop-up de certificats
En zone sécurisée, Internet Explorer & Firefox affiche un petit cadenas fermé dans la
barre d’état.
48
Usage responsable d’Internet : identité - confidentialité
Menaces
Copyright © 2007 – SecurityKernel
Les Pop-up de certificats… IExplorer
49
Usage responsable d’Internet : identité - confidentialité
Menaces
Copyright © 2007 – SecurityKernel
Les Pop-up de certificats… Firefox
La Protection des données
Menaces
Les Pop-up de certificats
Il est également intéressant de consulter le certificat de sécurité des pages
sécurisés.
Copyright © 2007 – SecurityKernel
Certificats de sécurité avec Internet Explorer : Aller dans le menu Fichier puis Propriétés.
Certificats de sécurité avec Firefox : Aller dans le menu Outils puis Informations sur la page.
On vérifie alors que le certificat est bien délivré à l'organisme sur lequel on se connecte (crédit mutuel dans
notre exemple) par Secure Server Certification Authority.
Vérifie également que dans l'état du certificat, il y est indiqué que le certificat est valide.
Même si la présence d'un protocole sécurisé n'est pas pour autant garant de l'intégrité du site
en question, son absence n'est pas bon signe !
Par exemple, les sites de phishing ne proposent pas (pas encore ?) d'accès sécurisés avec un
certificat valide à leurs pages, leur absence est donc un bon moyen de se rendre compte de la
supercherie.
50
51
Usage responsable d’Internet : Certificat
Travaux Pratiques
Copyright © 2007 – SecurityKernel
Validation du certificat de www.ac-grenoble.fr
52
Usage responsable d’Internet :
Mot de passe
Copyright © 2007 – SecurityKernel
Le top 5 des règles à suivre (www.identityblog.com)
Au moins 8 caractères de long
Inclure différents types de caractères – minuscules, majuscules, chiffres, symbols …. Plus les
caractères sont variés plus le mot de passe sera difficile à récupérer.
Utiliser un mot de passe différent pour chaque application (au moins un distinct pour vos
données personnelles et vos accès sur internet)
Pensez à utiliser une phrase au lieu d’un simple mot : « Personne ne pourra le deviner ».
Mettez des caractères symboles si les espace ne sont pas possibles
« Personne@Ne@Pourra@Le@Deviner »
Changez votre mot de passe régulièrement : tous les 3 mois
Le top 5 des choses à ne PAS faire
Ne pas utiliser une information personnelle dans le mot de passe comme votre nom, date
d’anniversaire, noms de vos enfants ou animaux ….
Eviter les mots que l’on trouve dans les dictionnaires (y compris écris à l’envers)
Ne pas réutiliser un password déjà utilisé dans les neuf derniers mois
Ne pas avoir de caractères répétitifs dans un mot de passe
Ne donner son mot de passe à personne
53
Copyright © 2007 – SecurityKernel
Usage responsable d’Internet : Mot de passe
Travaux Pratiques
http://www.microsoft.com/protect/yourself/password/checker.mspx
54
Usage responsable d’Internet :
Protection des données
* Définition (ISC)2
** Source www.caida.org
Menaces
Les logiciels malveillants (malware)
« Logiciels ou programmes conçus intentionnellement pour intégrer des fonctions permettant de
pénétrer un système, d’enfreindre les politiques de sécurité ou de transporter des charges
malveillantes ou pouvant provoquer des dommages. » *
Portes dérobées, falsificateurs de données, attaques par déni de service, canulars, bombes logiques, virus de
macro, chevaux de Troie, virus, vers, zombies …
Exemple : SQL Slammer 2003
Copyright © 2007 – SecurityKernel
5h30 UTC
6h00 UTC
A commencé son développement à 5h30 UTC samedi 25 janvier 2003
Durant la première minute, double de taille toutes les 8.5 secondes
Aprés 3 minutes le vers avait atteint son niveau de scans maximum (55 millions de probes par secondes dans le monde entier),
aprés quoi son expansion se ralentie
# 75 000 hôtes infectés (en 10 minutes pour 90% d’entre eux)
Dommages : vols (continental AirLines) annulés, distributeurs de la Bank of America … relativement bénin pour les hosts
infectés, dommages dues aux surcharges réseaux et systèmes générées par le ver
Exploite une faille de sécurité (buffer overflow) sur Microsoft SQL server.
Cette faille a été découverte en juillet 2002 et Microsoft avait sorti un correctif avant que la faille ne soit
annoncée.
55
Usage responsable d’Internet :
Protection des données
* Définition Symantec
Menaces
Les Virus
« Un virus informatique est un petit programme écrit pour altérer le fonctionnement d'un
ordinateur, sans la permission de l'utilisateur et à son insu « *
La première caractéristique d’un virus est sa reproduction
Il nécessite généralement l’intervention de l’utilisateur
Il transporte parfois des charges utiles. Ces charges peuvent parfois provoquer des dommages :
Certains virus sont programmés pour endommager l'ordinateur en endommageant des programmes, en supprimant des fichiers
ou en reformatant le disque dur.
D'autres ne créent aucun dommage mais se dupliquent et se manifestent sous la forme de texte, de vidéo et de messages audio.
Les principaux types de virus :
Copyright © 2007 – SecurityKernel
Il peut remplacer des fichiers exécutables avec une copie du fichier infecté par le virus
Virus programme (file infector) : infecte des fichiers programme (.exe, .com ..)
Virus d’amorçage (Boot sector Virus) : Les virus Secteurs d’amorce infectent une région du disque d’un système. C’est-àdire les secteurs d’amorce des disquettes ou des disques durs.
Virus de messagerie : Programme ou fichier infecté transmis par email
Virus de macro : Ces types de virus infectent les fichiers de données. Les virus de macro peuvent infecter les fichiers Microsoft
Office Word, Excel, PowerPoint et Access. Etant donné la facilité avec laquelle ces virus peuvent être créés, il en existe à présent
des milliers en circulation.
… et les composés « Virus composites »
56
Usage responsable d’Internet :
Protection des données
Menaces
Les Virus
Comment se protéger ?
Copyright © 2007 – SecurityKernel
Se méfier de tout support CD, DVD, Clefs USB dont on ignore le contenu
Se méfier de tout fichier que l’on télécharge depuis internet . Toujours télécharger à partir du site de l’éditeur directement. Ne
rien charger de sites inconnus.
Se méfier des pièces jointes d’e-mails .. Dans le doute , appeler l’émetteur …afin de vérifier que les pièces jointes sont
effectivement bien envoyées par l’auteur de l’e-mail … les virus les plus récents peuvent envoyer des messages qui apparaissent
comme provenant de personnes que vous connaissez.
Procurez-vous toutes les mises à jour de sécurité de Microsoft.
Sauvegardez vos données régulièrement. Conservez ce support (protégé contre l’écriture) dans un endroit sûr, de préférence à
distance de l’ordinateur.
Et bien sûr …. Avoir un antivirus à jour ….. ET LE VERIFIER !!!!
Que faire en cas d’infection ?
Votre antivirus vous le signale
Suivre les propositions de votre antivirus
D’une manière générale, mettre en quarantaine tout fichier signalé suspicieux par l’antivirus et que l’on souhaite
conserver, supprimer purement et simplement les autres.
Suivre la méthodologie proposée par l’antivirus pour récupérer les fichiers en quarantaine, si ce n’est pas possible, les
supprimer !
Le comportement de votre PC est anormal(lenteur, redémarrages , plantages, DESACTIVATION DE L’ANTI VIRUS …)
Se déconnecter du réseau afin de limiter la propagation
Mettre en quarantaine les supports issus de l’hôte
Récupérer chez un éditeur « l’antidote » (Symantec, Norton, Mc Afee …)
Désinfecter l’hôte
Mettre à jour l’antivirus (une signature est en général disponible dans les 24 heures
Vérifier avec cette nouvelle version d’antivirus que l’hôte est sain
Traiter les supports infectés (sous peine de reprendre le processus au début)
Sur un réseau, traiter en premier lieu les serveurs de fichiers et ressources partagées avant les clients
57
Usage responsable d’Internet :
Menaces
Test réel de protection aux virus : EICAR
http://securite-informatique.info/virus/eicar/
Telecharger le eicar.zip et le décompacter …
Traiter le problème !!!!
Traitement du virus sasser
Copyright © 2007 – SecurityKernel
Travaux Pratiques
Protection des données
http://www.google.fr rechercher par example « symantec sasser »
http://www.symantec.com/security_response/writeup.jsp?docid=2004-050116-1831-99
Consulter la fiche tecnhique
Aller sur removal et consulter le procédure … c’est simple !
La Protection des données
Menaces
Les virus-vers (worms)
Définition (wikipedia.org):
Conséquences et dangers:
Copyright © 2007 – SecurityKernel
Apparus en 1988 (ver Morris créé par un étudiant du MIT), les vers ont connu un développement
fulgurant dans les années qui suivent, leur mode de propagation est lié au réseau, comme des
vers, en général via l'exploitation de failles de sécurité.
Un ver informatique est un logiciel malveillant qui se reproduit sur des ordinateurs à l'aide d'un
réseau informatique.
Un ver, contrairement à un virus informatique, n'a pas besoin d'un programme hôte pour se
reproduire. Il exploite les différentes ressources afin d'assurer sa reproduction.
Des vers écrits sous forme de script peuvent être intégrés dans un mail ou sur une page web. Ils
sont activés par les actions de l'utilisateur qui croit accéder à des informations lui étant destinées.
La définition d'un ver s'arrête à la manière dont il se propage de machine en machine, mais le
véritable but de tels programmes peut aller au delà du simple fait de se reproduire :
Espionner dans le but d’accéder a des informations confidentielles
Offrir un point d'accès caché (porte dérobée)
Détruire des données
Envoi de spam ou de multiples requêtes vers un site internet dans le but de le
saturer.
Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, ralentissement
du réseau, plantage de services ou du système…
58
La Protection des données
Menaces
Les virus-vers (worm)
4/5/2000 - I love you
Ce ver tire son nom de la pièce jointe au courrier électronique qui le transporte, nommé
Love-Letter-for-you.txt.vbs.
Il s'est répandu à une vitesse extrême sur des milliers (millions ?) de machines dans le monde. Les
Américains ont estimé la perte à 7 milliards de dollars pour les Etats-Unis.
Copyright © 2007 – SecurityKernel
La plate-forme visée est Windows 98 et plus. Par défaut, Windows cache l'extension des fichiers dont le type lui
est connu. L'extension .vbs correspond au langage de script Visual Basic de Windows : l'affichage cache donc cette
extension et ne montre qu'un fichier Love-Letter-for-you.txt. On a l'impression de recevoir un mail banal contenant
un fichier texte, alors qu'en l'ouvrant on exécute un script.
Ce script recherche alors sur les disques locaux ─ mais aussi sur ceux accessibles via le réseau ─ tous les fichiers
ayant une certaine extension (fichiers scripts, images, textes, pages HTML, etc.) et remplace leur contenu par le
code source du ver (le script).
Il ajoute également le suffixe .vbs au nom des fichiers.
Il modifie également la base de registre de Windows pour être redémarré à chaque lancement du système.
Une fois installé, il utilise le carnet d'adresses d'Outlook ou Outlook Express pour s'envoyer lui-même à tous les
contacts de l'utilisateur du logiciel.
De plus, si le logiciel mIRC est présent sur l'un des disques durs, le virus va y ajouter un script envoyant
automatiquement la "lettre d'amour" à toute personne se connectant au même salon que le propriétaire de
l'ordinateur infecté.
Code Red (2001), Sobig.f (2003), Sober (2003), Blaster (2003), Sasser (2004)
Comment s’en protéger:
ne pas ouvrir "à l'aveugle" les fichiers reçus par la messagerie: tous les fichiers exécutables ou
interprétables par le système d'exploitation peuvent potentiellement infecter votre ordinateur. Les fichiers
comportant notamment les extensions suivantes sont potentiellement susceptible d'être infectés : exe, com, bat,
pif, vbs, scr, doc, xls, msi, eml
Mettre a jour son système d’exploitation et les logiciels installés
Utiliser un logiciel antivirus et le mettre a jour!
Utiliser un Firewall personnel
59
Supprimer tout partage de disque inutile particulièrement dans l’environnement MS-Windows
60
Usage responsable d’Internet :
Protection des données
Menaces
Trappes et portes dérobées (trapdoor, backdoor)
Implantées intentionnellement ou par erreur, lors du développement, par un initié
Trappes de maintenance (maintenance hook), parfois délibérées et utiles
Copyright © 2007 – SecurityKernel
Entrer Caractere();
Si
choix=“s” alors sauvegarder();
choix=“o” alors ouvrir_fichier();
…
…
choix=“f” alors RetourWindows();
FinSi
Trouvé sur SecurityFocus
Entrer Caractere();
Si
choix=“s” alors sauvegarder();
choix=“o” alors ouvrir_fichier();
…
choix=“$” alors AfficherPassword();
…
choix=“f” alors RetourWindows();
FinSi
“While assessing the security of WordPress, a popular blog creation software, I have discovered that it's
sourcecode has recently been compromised by a third party in order to enable remote command execution on
the machines running affected versions.
The compromised files are wp-includes/feed.php and wp-includes/theme.php.
The following code has been added:
…..
this would enable remote command execution on machines running compromised versions, for example
http://wordpressurl/wp-includes/theme.php?iz=cat /etc/passwd
I have discovered this vulnerability on Friday, March 2nd 2007 and contacted WordPress about it straight away.
They reacted promptly by disabling downloads until further investigation. Later they determined that ony one of
two servers has been compromised and that the two files mentioned above are the only ones changed. It
seems that the above files were changed on Feb 25th, 2007, so if you downloaded WordPress between Feb
25th, 2007 and Mar 2nd 2007 it is possible that you are running a compromised version, so be sure to check
for the above code.”
61
Usage responsable d’Internet :
Protection des données
Menaces
Trappes et portes dérobées (trapdoor, backdoor)
Comment s’en protéger ?
Copyright © 2007 – SecurityKernel
Toujours installer des logiciels « dignes de confiance »
Toujours télécharger des utilitaires sur des sites « dignes de confiances »
Installer un firewall personnel
Firewall - (pare feu)
62
Protection des données
Les Mises à Jour
Copyright © 2007 – SecurityKernel
Les mises à jour sécurité (updates) de logiciels permettent de corriger des anomalies qui
pourraient être exploitées par une personne malveillante ou un code malveillant pour accéder à
votre ordinateur, vos données …
63
Protection des données
Les Mises à Jour
Copyright © 2007 – SecurityKernel
Les mises à jour sécurité (updates) de logiciels permettent de corriger des anomalies qui
pourraient être exploitées par une personne malveillante ou un code malveillant pour accéder à
votre ordinateur, vos données …
Mises à Jour sous Windows
Licence Windows valide
Nécessite parfois un redémarrage
Les Mises à jour concernent aussi les
systèmes UNIX (Linux …)
64
Protection des données :
Prise en main de VNC : Installation de VNC 4.1.2
Télécharger la dernière version de VNC 4.1.2 :
next, next, next …..
mot de passe : toto
Désactiver le Firewall Windows (port 5900 minimum)
Connectez-vous chez votre voisin
Exemple de vulnérabilité corrigée par une mise à jour logicielle
Copyright © 2007 – SecurityKernel
http://www.realvnc.com/products/download.html
L’installer …
Travaux Pratiques
http://secunia.com/advisories/20107/
Installation d’une version antérieure 4.1.1
L’installer …
next, next, next …..
mot de passe : toto
Désactiver le Firewall Windows (port 5900 minimum)
Connectez-vous chez votre voisin
Exploitation de la faille chez ceux qui ne sont pas à jour !!!!!
Copyright © 2007 – SecurityKernel
Protection des données :
Travaux Pratiques
65
66
Usage responsable d’Internet :
Protection des données
Menaces
Chevaux de Troie
Un cheval de troie (ou trojan) est un programme informatique caché dans un
autre et qui est conçu pour exécuter des actions (commandes) à distance.
Symptômes d’infection
Copyright © 2007 – SecurityKernel
Les actions peuvent être très variés depuis l’accès « simple » aux fichiers de la machine infectée (mots de
passes, données sensibles) jusqu’à une prise de contrôle totale de cette machine.
Le cheval de troie ouvre une backdoor pour permettre à son concepteur de s’introduire sur la machine infectée.
Une machine infectée par un troyen peut offrir une brêche dans un réseau pour permettre à des individus dont
l’accès à ce réseau n’est pas autorisé, de pénétrer depuis l’extérieur.
Un cheval de troie n’est pas forcément un virus. Il n’a pas pour but de se reproduire.
Certains virus peuvent cependant se comporter comme des chevaux de Troie
Charge anormale de l’ordinateur (carte réseau, disque) en l’absence d’activité de l’utilisateur
Lancement de programmes sans que l’utilisateur ne le demande
Instabilité du système (plantages)
Protection
Toujours installer des logiciels « dignes de confiance »
Toujours télécharger des utilitaires sur des sites « dignes de confiances »
Antispyware, antivirus pour éviter la contamination
Le firewall pour supprimer toute possibilité de connexion distante
67
Usage responsable d’Internet :
Protection des données
www.darkreading.com - 9 Nov 2007 – … top three botnets are Storm, with 230,000 active members per 24 hour period; Rbot, an IRC-based
botnet with 40,000 active members per 24 hour period; Bobax, an HTTP-based botnet with 24,000 active members per 24 hour period, ...
Menaces
Réseaux de Zombies
*Definition Wikipedia
En sécurité informatique, une machine zombie est un ordinateur contrôlé à l'insu de son utilisateur
par un pirate informatique. Ce dernier l'utilise alors le plus souvent à des fins malveillantes, par
exemple afin d'attaquer d'autres machines en dissimulant sa véritable identité. Un zombie est
souvent infesté à l'origine par un ver ou cheval de Troie. *
Les botnets sont des réseaux de plusieurs centaines de milliers de machines et sont utilisés pour commettre des
délits comme des attaques de type déni de service (masque les attaquants et démultiplient les attaques); des
tâches diverses comme les envois en masse de courriers non sollicités (spam); le vol de données bancaires et
identitaires à grande échelle. Les botnets sont plus à l'avantage d'organisations criminelles (mafieuses) que de
pirates isolés, et peuvent être même loués à des tiers peu scrupuleux.
Comment s’en protéger ?
Copyright © 2007 – SecurityKernel
Toujours installer des logiciels « dignes de confiance »
Toujours télécharger des utilitaires sur des sites « dignes de confiances »
Installer un firewall personnel, antispyware, antivirus
Serveur cible
Déni de service distribué
Attaquant
Botnet
La Protection des données
Menaces
Les virus-spywares
Définition (wikipedia.org): Un logiciel espion
Copyright © 2007 – SecurityKernel
Un spyware est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur
sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le
diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).
Les récoltes d'informations peuvent ainsi être :
la traçabilité des URL des sites visités,
le suivi des mots-clés saisis dans les moteurs de recherche,
l'analyse des achats réalisés via internet,
voire les informations de paiement bancaire (numéro de carte bleue / VISA), ou bien des
informations personnelles.
Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps
des freewares ou sharewares).
Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils
accompagnent précise que ce programme tiers va être installé ! En revanche étant donné que la
longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci savent très
rarement qu'un tel logiciel effectue ce profilage dans leur dos.
La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond,
apparaissent rarement dans le Menu Démarrer de Windows et sont le plus souvent absents de la
liste des programmes installés figurant dans le Panneau de configuration.
Conséquences et dangers:
Outre le préjudice causé par la divulgation d'informations à caractère personnel, les spywares
peuvent également être une source de nuisances diverses :
consommation de mémoire vive
utilisation d'espace disque
mobilisation des ressources du processeur
plantages d'autres applications
68
gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en
fonction des données collectées).
La Protection des données
Menaces
Les virus-spywares
Il existe des listes de spywares, consultables en l'état, sous forme de moteurs de recherche ou
encore d'utilitaires dédiés. Près d'un millier de logiciels (spywares intégrés ou programmes associés à
un spyware externalisé) ont ainsi été recensés.
Les différents types de logiciels espions connus :
Logiciels connus incluant des logiciels espions
Copyright © 2007 – SecurityKernel
Générateurs de fenêtres intruses: Gator, Cydoor…
Pirates de navigateur (hijackers): CoolWebSearch…
Détourneurs de bureau (desktop hijackers) : AdwarePunisher, AdwareSheriff…
Fraude: XXXDial
Vol d'informations: BackOrifice (a la limite du cheval de troie)
Usurpation de fonctionnalité (rogues): SystemDoctor, SpyDoctor, SpyKiller…
Kazaa, qui inclut Cydoor
Download Accelerator, Cute FTP, DivX, PKZip…
Comment s’en protéger:
La principale difficulté avec les spywares est de les détecter: La meilleure façon de se protéger est
encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité
Certains firewalls personnels sont capables de filtrer le trafic sortant sur une base applicative, c'est-à-dire que
chaque application souhaitant accéder à internet doit au préalable y avoir été autorisée. Pour ce faire, une alerte
est émise, comme ici avec ZoneAlarm (ZoneLabs) et le spyware Webhancer
Utiliser un logiciel spécialisé de détection et de suppression des spywares: les plus connus et les plus efficaces sont
Ad-Aware de lavasoft, ou encore Spybot Search&Destroy
69
70
Usage responsable d’Internet :
Protection des données
Menaces
Le Spam
Qu’est-ce ?
Ce sont les messages publicitaires, les mails à caractère politique, religieux, voire
sectaire ou pornographiques d’inconnus que vous recevez dans votre boite au lettre :
on parle de "spam", "d'envoi massif de courrier électronique non sollicité", de "courrier rebut" ou bien encore de
"pourriels".
Comment récupère-t-on votre adresse mail :
Achat de fichiers à des entreprises spécialisés
Echange de fichiers entre sites. Pour l’instant rien n’interdit à une société de vendre les données collectées sur
son site à une autre.
Récupération d’adresse email dans les newsgroups, les forums de discussion, les annuaires … Il existe des
aspirateur d’adresses conçus pour ça …
Le volume du spam par rapport au trafic email global 2007-2011
Copyright © 2007 – SecurityKernel
Source : Radicati Group, avril 2007
Année
Volume
2007
75%
2008
78%
2009
80%
2010
81%
2011
82%
75% du trafic email
mondial est du spam
71
Usage responsable d’Internet :
Protection des données
Menaces
Le Spam
Thunderbird Spam Filter
Comment s’en protéger ?
Ne jamais répondre (même si il est indiqué la
possibilité d’un désabonnement éventuel)
Ne jamais ouvrir une pièce jointe à un SPAM
Ne jamais cliquer sur un lien contenu dans un
SPAM
Se méfier des formulaires et cases à
cocher/décocher
Copyright © 2007 – SecurityKernel
Avoir au moins deux boites mails
Ne pas publier son adresse mail dans les pages des
sites internet (la cacher aux robots par un bouton)
Utiliser les fonctions de filtrage des clients de
messagerie
Utiliser un anti-spam sur votre ordinateur
Activer votre anti-spam chez votre provider
72
La Protection des données
Menaces
Le Phishing (hameçonnage)
Définition: Un cas d'usurpation d'identité.
Copyright © 2007 – SecurityKernel
Le phishing, mot provenant de la concaténation de phreaking (qui désigne le piratage des systèmes
téléphoniques) et fishing (qui signifie pêche). Il s’agit d’aller "à la pêche aux informations" d’une
façon toute simple : demander aux internautes eux-mêmes des informations personnelles les
concernant (login, mot de passe, informations de compte PayPal, numéro de carte bancaire...)
Pour cela les « pirates » utilisent des sites miroirs semblables aux sites originaux.
Le but du jeu est d'attirer un internaute réellement client du site plagié. Un email non sollicité
(spam) reprenant l'habillage du site "contrefait" invite l'internaute à se rendre sur le faux site pour
remettre à jour certains renseignements personnels dans un questionnaire tout aussi faux.
L'internaute laisse alors numéros de téléphone, de sécurité sociale, de compte bancaire et parfois
de carte de crédit. Autant d'informations lucratives pour les escrocs en ligne.
De plus en plus difficile à déjouer, même les internautes confirmés peuvent en être victime. Les
escrocs peuvent ainsi envoyer des emails véritablement personnalisés à leurs victimes en
augmentant la véracité de l’email à l’aide de données spécifiques comme le nom, le prénom et
l’adresse postale ou la banque réelle de l’internaute (on parle alors de "spear phishing", ou
"pêche à la lance").
La majorité des sites de phishing sont aujourd’hui hébergés aux USA et la plupart concernent le
domaine de la banque et de la finance.
Parfois, les URL utilisées vont tenter de ressembler à une adresse de société existante avec une
légère variation du nom utilisé (une faute de frappe par ci, une consonance similaire par là…).
D’autres sites, au contraire, ne prendront pas la peine d’utiliser un DNS mais auront recours à une
simple adresse IP (avec parfois un autre port que le port 80 habituellement utilisé).
La durée de vie d’un tel site est très courte : 5 à 8 jours en moyenne, ce genre d’arnaques étant
très volatile du fait que le site se fait « repérer » relativement rapidement...
Les arnaques en ligne (phishing) en janvier 2007
Mai 2006
Avril 2007
Sites de phising actifs
11976
27221
Durée de vie moyenne d’un site de Phishing
4,0 jours
5 jours
Source : APWG, avril 2007
73
La Protection des données
Menaces
Le Phishing
Exemple d’un cas concret : 2/05/2007
1. Réception d’un courrier électronique qui nous invite a nous connecter pour des raisons de mise a jour du
service client. Le lien semble correspondre a celui de notre service « habituel »
Copyright © 2007 – SecurityKernel
http://www.53.com/NewWCM/portal0597r/portal265403ld/verify/busconfirm
74
La Protection des données
Menaces
Le Phishing
Exemple d’un cas concret : 2/05/2007
2. Le lien en question nous amène sur la page suivante ou l’on nous propose de nous connecter au service
avec nos identifiants habituels. (Le look du service ressemble comme 2 gouttes d’eau au service utilisé
habituellement…
Copyright © 2007 – SecurityKernel
http://www.53.com-newwcm.portal570285p.xerpoks.biz/verify/busconfirm
75
La Protection des données
Menaces
Le Phishing
Exemple d’un cas concret : 2/05/2007
Copyright © 2007 – SecurityKernel
3. Après vérification auprès du service www.53.com, le site a bien fait l’objet d’une attaque en règle & n’est
plus accessible pour des raisons de maintenance…
76
La Protection des données
Menaces
Le Phishing (hameçonnage)
Comment s’en protéger: Quelques conseils simples et de bon sens à mettre en place :
Copyright © 2007 – SecurityKernel
Ne jamais communiquer de données personnelles (numéro de carte bancaire par exemple), même si votre
banque vous le demande ! Celle-ci n’a pas besoin de votre confirmation de numéro de carte bancaire !
Si le doute persiste, téléphonez à la société en question (avec leur numéro de téléphone trouvé sur les pages
jaunes, pas celui indiqué dans l’email).
Toujours se poser ces deux questions:
Est-il normal que cet organisme ait connaissance de mon email ?
Est-il normal que cet organisme me contacte par email pour une telle raison ?
Ne jamais se fier à l'adresse email de l'expéditeur, celle-ci pouvant être très facilement usurpée ou piratée.
Se méfier des propositions trop alléchantes.
Utiliser un filtre anti-spam afin de limiter la réception d’emails frauduleux ; ce filtre anti-spam peut être fourni
par votre FAI ou installé sur votre poste personnel (les deux solutions sont cumulables).
En cas de doute, ne pas cliquer sur le lien contenu dans l'email suspect, effacer l'email suspect.
Ne jamais se connecter sur le site en cliquant sur un lien contenu dans l'email, il est plus prudent de taper soi
même l'URL dans son navigateur.
De nombreuse failles de sécurité sont régulièrement corrigées, Pensez à mettre à jour votre système
régulièrement.
En cas de doute, vérifier si le mail reçu n'est pas recensé par l’Anti-Phishing Working Group (organisme américain
recensant les attaques par phishing ) : http://www.antiphishing.org/
Etre méfiant de nature (sans non plus sombrer dans la paranoïa !)
Copyright © 2007 – SecurityKernel
77
La Protection des données
78
Protection des données
Menaces
Canular (Hoax)
Ils existent avant tout sous forme écrite (courrier électronique, message
dans un forum, etc.) et contrairement aux rumeurs hors ligne incitent le
plus souvent explicitement l'internaute à faire suivre la nouvelle à tous
ses contacts, d'où une rapide réaction en chaîne.
Copyright © 2007 – SecurityKernel
S ’appuient sur les utilisateurs plutôt que sur les programmes : « Mind virus »
ingénierie sociale
Ils peuvent concerner tout sujet susceptible de déclencher une émotion
positive ou négative chez l'utilisateur : alerte virus, disparition d'enfant,
promesse de bonheur, pétition, etc.
Avertissent généralement de l’existence d’un « nouveau virus », duquel il
faut se protéger
Certains hoax (surnommés viroax) poussent les internautes à
entreprendre une action dangereuse pour l'intégrité ou la sécurité de
leur ordinateur, comme la suppression d'un fichier sain appartenant au
système d'exploitation ou à une application commune. Le prétexte
avancé est généralement que ce fichier serait un virus et les consignes
incluent souvent un vidage de la poubelle, laissant l'utilisateur démuni et
sans moyen simple pour restaurer le fichier supprimé.
Lors de la réception d’un message de ce type, vérifier toujours sa
véracité avant de mettre en pratique ce qu’il demande (l’émetteur est en
général un proche qui vous l’a transmis pensant vous rendre service …
l’émetteur n’est donc pas une bonne source de vérification). Les sites
suivants référencent les canulars connus et les actions à effectuer
http://www.hoaxkiller.fr
http://www.hoaxbuster.com
http://hoaxbusters.ciac.org/
http://www.truthorfiction.com/
http://www.symantec.com/avcenter/hoax.html
http://vil.mcafee.com/hoax.asp
79
Protection des données
Menaces
Canular
From : un ami ….
Salut tout le monde, on m'a forwardé ce message aujourd'hui, alors
ATTENTION
Copyright © 2007 – SecurityKernel
Certains clients et amis de l'entreprise ont trouvé par hasard un fichier du
nom de SULFNBK.EXE : c'est un fichier qui est programmé pour s'activer
le 1° Juin 2001. Les systèmes antivirus ne le détectent pas parce qu'il n'est
pas encore activé. Mais c'est un parasite, c'est à dire qu'il entre dans votre
machine sans être détecté, comme s'il faisait partie d'un courrier.
Faites un clic sur le bouton DEMARRER, choisissez RECHERCHER, puis
FICHIERS OU DOSSIER et écrivez le nom du fichier, recherchez-le dans
toutes les mémoires. Si vous le trouvez NE L'OUVREZ PAS ! (l'icône est
fait de lettres noires peu lisibles qui disent SULF NBK).
Cliquez sur l'icône avec le bouton droit et faites SUPPRIMER. Vous aurez
droit aux avertissements habituels de Windows comme quoi effacer un
programme risque d'affecter Windows. Ignorez cet avertissement et effacez
ce truc. Ensuite, VIDEZ LA CORBEILLE, car il peut aussi s'activer depuis
là.
CE N'EST PAS UN GAG !!!
Avertissez les gens à qui vous avez forwardé des messages venant d'on ne
sait pas trop où, et qui pourrait les recevoir sur leur PC, le plus vite
possible, afin qu'ils puissent éviter que le virus ne s'active le 1er juin.
Rappelez-vous, il s'appelle SULFNBK.EXE.
80
Protection des données
Travaux pratiques
Canular ou réalité ?
UN DE MES CORRESPONDANTS A ETE INFECTE PAR UN VIRUS QUI CIRCULE SUR LE MSN
Messenger.
Copyright © 2007 – SecurityKernel
LE NOM DU VIRUS EST jdbgmgr.exe L'ICONE EST UN PETIT OURSON. IL EST TRANSMIS
AUTOMATIQUEMENT PAR MESSENGER AINSI QUE PAR LE CARNET D'ADRESSES. LE
VIRUS N'EST PAS DETECTE PAR McAFEE OU NORTON ET RESTE EN SOMMEIL PENDANT
14 JOURS AVANT DE S'ATTAQUER AU DISQUE DUR. IL PEUT DETRUIRE TOUT LE
SYSTEME. JE VIENS DE LE TROUVER SUR MON DISQUE DUR! !! AGISSEZ DONC TRES VITE
POUR l'ELIMINER COMME SUIT:
Très simple à faire !
1; Aller à DEMARRER, faire "RECHERCHER"
2. dans la fênetre FICHIERS-DOSSIERS taper le nom du virus: jdbgmgr.exe
3. Assurez vous de faire la recherche sur votre disque dur "C"
4. Appuyer sur "RECHERCHER MAINTENANT"
5. Si vous trouvez le virus L'ICONE EST UN PETIT OURSON son nom "jdbgmgr.exe" NE
L'OUVREZ SURTOUT PAS !!!!!
6.Appuyer sur le bouton droi de la souris pour l'eliminer (aller à la CORBEILLE) vous pouvez aussi
l'effacer en appuyant sur SHIFT DELETE afin qu'il ne reste pas dans la corbeille.
7. aller à la CORBEILLE et l'effacer definitivement ou bien vider la corbeille.
SI VOUS TROUVEZ LE VIRUS SUR VOTRE DISQUE DUR ENVOYEZ CE MESSAGE A TOUS
VOS CORRESPONDANTS FIGURANT SUR VOTRE CARNET D'ADRESSE CAR JE NE SAIS PAS
DEPUIS QUAND IL EST PASSE.
81
Protection des données
Menaces
Ingénierie Sociale
Copyright © 2007 – SecurityKernel
Définition
Méthode consistant à influencer et à persuader une personne pour l’abuser en la convainquant que l’ingénieur social
n’est pas celui qu’elle croit. L’ingénieur social peut alors tirer parti de certaines personnes pour obtenir des informations avec ou
sans l’aide de la technique
Social engineer : « personne utilisant la supercherie, l’influence et la persuasion contres les activités professionnelles et,
généralement, en ciblant leurs informations »
Les techniques de collecte des informations par ingénierie sociale comprennent les conversations téléphoniques, l’observation
des frappes clavier, la fouille des poubelles, ..
Comment se protéger ?
La meilleure façon de se protéger des techniques d'ingénierie sociale est d'utiliser son bon sens pour ne pas
divulguer à n'importe qui des informations pouvant nuire à la sécurité de l'entreprise. Il est ainsi conseillé, quel
que soit le type de renseignement demandé :
de se renseigner sur l'identité de son interlocuteur en lui demandant des informations précises (nom et
prénom, société, numéro de téléphone) ;
de vérifier éventuellement les renseignements fournis ;
de s'interroger sur la criticité des informations demandées.
Ainsi, une formation et une sensibilisation des utilisateurs aux problèmes de sécurité peut s'avérer nécessaire.
82
Protection des données
Spyware
Phising
Virus
Anti
spyware
Canulars
Antivirus
Social Engineering
Spam
Copyright © 2007 – SecurityKernel
AntiSpam
Sauvegardes
Firewall
Mises à
jour
Backdoor
Vers
Botnet
Trojan
83
Usage responsable d’Internet : La loi
Responsabilités de l’utilisateur
Copyright © 2007 – SecurityKernel
art.93-3 loi n°82-652 du 29 juillet 1982:
«Au cas où l’une des infractions prévues par le chapitre IV de la loi du 29 juillet 1881 sur la
liberté de la presse est commise par un moyen de communication au public par voie
électronique, le directeur de la publication ou (…) le codirecteur de la publication sera poursuivi
comme auteur principal, lorsque le message incriminé a fait l’objet d’une fixation préalable à sa
communication au public.
A défaut, l’auteur, et à défaut de l’auteur, le producteur sera poursuivi comme auteur principal.
Lorsque le directeur ou le codirecteur de la publication sera mis en cause, l’auteur sera
poursuivi comme complice. (…)»
Extraits de : http://www.ac-rouen.fr/rectorat/etab_informatique/index.php
84
Usage responsable d’Internet : La loi
Responsabilités de l’utilisateur: provocations
Article 23 loi du 29 juillet 1881:
Copyright © 2007 – SecurityKernel
«Seront punis comme complices d’une action qualifiée crime ou délit ceux qui, soit par
discours, cris ou menaces proférés dans des lieux ou réunions publics, soit par des écrits,
imprimés, dessins , gravures, peintures, emblèmes, images ou tout autre support de l’écrit, de
la parole ou de l’image vendus ou distribués, mis en vente ou exposés dans des lieux ou
réunions publics, soit par des placards ou des affiches exposés au regard du public, soit par
tout moyen de communication au public par voie électronique, auront directement provoqué
l’auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d’effet (…)»
Article 24 -loi du 29 juillet 1881
Seront punis (…) ceux qui, par les mêmes moyens, auront provoqué directement aux actes de
terrorisme (…) ou qui en auront fait l’apologie. (…) Ceux qui, par l’un des moyens énoncés à
l’article 23, auront provoqué à la discrimination, à la haine ou à la violence à l’égard d’une
personne ou d’un groupe de personnes à raison de leur origine ou de leur appartenance ou
non appartenance à une ethnie, une nation, une race ou une religion déterminée, seront punis
d’un an emprisonnement et de 45.000euros d’amende ou de l’une de ces deux peines
seulement.
Seront punis des peines prévues à l’alinéa précédent ceux qui, par ces mêmes moyens, auront
provoqué à la haine ou à la violence à l’égard d’une personne ou d’un groupe de personnes à
raison de leur sexe, de leur orientation sexuelle ou de leur handicap ou auront provoqué, à
l’égard des mêmes personnes, aux discriminations prévues (…)»
Extraits de : http://www.ac-rouen.fr/rectorat/etab_informatique/index.php
85
Usage responsable d’Internet : La loi
Responsabilités de l’utilisateur: Injures et diffamation
Article 29 loi 29 juillet 1881
Copyright © 2007 – SecurityKernel
«Toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de
la personne ou du corps auquel le fait est imputé est une diffamation. La publication directe ou
par voie de reproduction de cette allégation ou de cette imputation est punissable, même si elle
est faite sous forme dubitative ou si elle vise une personne ou un corps non expressément
nommés, mais dont l’identification est rendue possible par les termes des discours, cris,
menaces, écrits ou imprimés, placard ou affiches incriminés.
Toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation
d’aucun fait est une injure»
Extraits de : http://www.ac-rouen.fr/rectorat/etab_informatique/index.php
86
Usage responsable d’Internet : La loi
Responsabilités de l’utilisateur: Mineurs
Article L122-8 du code pénal:
Copyright © 2007 – SecurityKernel
«Les mineurs capables de discernement sont pénalement responsables des crimes, délits ou
contraventions dont ils ont été reconnus coupables, dans des conditions fixées par une loi
particulière qui détermine les mesures de protection, d’assistance, de surveillance et
d’éducation dont ils peuvent faire l’objet.Cette loi détermine également les sanctions éducatives
qui peuvent être prononcées à l’encontre des mineurs de dix à dix-huit ans ainsi que les peines
auxquelles peuvent être condamnés les mineurs de treize à dix huit ans, en tenant compte de
l’atténuation de responsabilité dont ils bénéficient en raison de leur âge»
Article 1384 al 4 du code civil
«Le père et la mère, en tant qu’ils exercent l’autorité parentale, sont solidairement
responsables du dommage causé par leurs enfants mineurs habitant avec eux»
Extraits de : http://www.ac-rouen.fr/rectorat/etab_informatique/index.php
87
Usage responsable d’Internet : La loi
Respect de l’utilisateur : Loi Godfrain
Accès aux systèmes informatiques
Accès non autorisé :
Disfonctionnement ou destruction :
Copyright © 2007 – SecurityKernel
Quiconque aura, intentionnellement et au mépris des droits d'autrui, entravé ou faussé le
fonctionnement d'un système de traitement automatisé de données sera puni d'un
emprisonnement de trois mois à trois ans et d'une amende de 10.000F à 100.000F ou de
l'une de ces deux peines. Article 462-4
Modifications autorisées :
Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un
système de traitement automatisé de données sera puni d'un emprisonnement de deux
mois à un an et d'une amende de 2.000F à 50.000F ou de l'une de ces deux peines.
Lorsqu'il en sera résulté soit la suppression ou la modification de données contenues
dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement
sera de deux mois à deux ans et l'amende de 10.000F à 100.000F. Article 462-3
Quiconque aura, intentionnellement et au mépris des droits d'autrui, directement ou
indirectement, introduit des données dans un système de traitement automatisé ou
supprimé ou modifié les données qu'il contient ou leurs modes de traitement ou de
transmission, sera puni d'un emprisonnement de trois mois à trois ans et d'une amende
de 2.000F à 500.000F ou de l'une de ces deux peines. Article 462-5
Falsification de données :
Quiconque aura procédé à la falsification de documents informatisés, quelle que soit leur
forme, de nature à causer un préjudice à autrui, sera puni d'un emprisonnement d'un an
à cinq ans et d'une amende de 20.000F à 2.000.000F. Article 462-6
88
Usage responsable d’Internet : La loi
Respect de la Vie Privée
Article 9 du code civil:
«Chacun a droit au respect de sa vie privée»
Articles L226-1 du code pénal:
«Est puni d’un an d’emprisonnement et de 45.000eurosd’amende le fait, au moyen d’un
procédé quelconque, volontairement de porter atteinte à l’intimité de la vie privée d’autrui:
Copyright © 2007 – SecurityKernel
1° En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées
à titre privé ou confidentiel
2° En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se
trouvant dans un lieu privé.
Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés
sans qu’ils s’y soient opposés, alors qu’ils étaient en mesure de le faire, le consentement de
ceux-ci est présumé»
Article L226-8 du code pénal:
«Est puni d’un an d’emprisonnement et de 15 000 eurosd’amende le fait de publier, par
quelque voie que ce soit, le montage réalisé avec les paroles oul’image d’une personne sans
son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas
expressément fait mention (…)»
Extraits de : http://www.ac-rouen.fr/rectorat/etab_informatique/index.php
89
Usage responsable d’Internet : La loi
Respect de la propriété intellectuelle
Article L335-2 du code de la propriété intellectuelle:
«Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre
production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs
à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit.
Article L122-4 ducpi:
Copyright © 2007 – SecurityKernel
«Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de
l’auteur ou de ses ayants droits ou ayants cause est illicite. Il en est de même pour la
traduction, l’adaptation ou la transformation, l’arrangement ou la reproduction par un art ou un
procédé quelconque»
Article L122-5 ducpi:
«Lorsque l’oeuvre a été divulguée, l’auteur ne peut interdire: (…)
3° Sous réserve que soient indiqués clairement le nom de l’auteur et la source:
•a) les analyses et courtes citations justifiées par le caractère critique, polémique, pédagogique, scientifique ou d’information de
l’oeuvre à laquelle elles sont incorporées;
•b)les revues de presse;
•c) la diffusion, même intégrale, par la voie de presse ou de télédiffusion, à titre d’information d’actualité, des discours destinés au
public prononcés dans les assemblées politiques, administratives, judiciaires ou académiques, ainsi que dans les réunions publiques
d’ordre politique et les cérémonies officielles; (…)»
Extraits de : http://www.ac-rouen.fr/rectorat/etab_informatique/index.php
90
Usage responsable d’Internet : La loi
Copyright © 2007 – SecurityKernel
Respect de la propriété intellectuelle: Droit d’auteur
Le droit d'auteur en France est régi par par la loi du 11 mars 1957 et la loi du 3 juillet 1985,
codifiées dans le code de la propriété intellectuelle.
La loi reconnaît en tant qu'auteur toute personne physique qui crée une oeuvre de
l'esprit quelle que soit son genre (littéraire, musical ou artistique), sa forme
d'expression (orale ou écrite), son mérite ou sa finalité (but artistique ou utilitaire).
D'après les article L.111-1 et L.123-1 du code de la propriété intellectuelle, l'auteur
d'une oeuvre de l'esprit jouit d'un droit de propriété exclusif dès sa création, sans
nécessité d'accomplissement de formalités (dépôt ou enregistrement), pour une
durée correspondant à l'année civile du décès de l'auteur et des soixante-dix années qui
suivent, au bénéfice de ses ayants-droits. Au-delà de cette période, les oeuvres entrent dans le
domaine public. Toutefois, en cas de litige, il est nécessaire de pouvoir apporter une preuve
de l'existence de l'oeuvre à une date donnée, soit en ayant effectuée préalablement un dépôt
auprès d'un organisme habitilité, soit en ayant rendue l'oeuvre publique et en étant en moyen
de le prouver.
Extraits de : http://www.commentcamarche.net/
91
Usage responsable d’Internet : La loi
Respect de la propriété intellectuelle: Copyright
Copyright © 2007 – SecurityKernel
Le terme "copyright" désigne la notion de droit d'auteur dans la loi américaine (dans le Titre
17 du United States Code). Contrairement au droit d'auteur en vigueur en France, un
dépôt est nécessaire afin de le faire valoir aux Etats-Unis. Les oeuvres ayant fait l'objet
d'un dépôt de copyright peuvent ainsi afficher le symbole ©, suivi de l'année de publication,
puis du nom de l'auteur (ou de la société ayant déposé le copyright).
Ce formalisme est autorisé en France dans la mesure où il s'applique à toute oeuvre soumise
au droit d'auteur. Les mentions "Copyright", © ou "Tous droits réservés" n'ont pas pour autant
d'influence sur la protection de l'oeuvre et permettent uniquement de jouer un rôle informatif
vis-à-vis du public. D'autre part l'absence de sigle ou de mention du droit d'auteur ne
signifie pas que l'oeuvre n'est pas protégée ! Ainsi tous les éléments présents sur Internet
(images, vidéos, extraits sonores, textes) sont soumis de facto au droit d'auteur, même si leur
accès est libre et gratuit et qu'aucune mention ne précise qu'ils sont protégés !
Il est essentiel lors de toute utilisation d'une oeuvre ou d'une partie d'une oeuvre d'avoir le
consentement de son auteur, au risque sinon d'être condamné à payer des dommages et
intérêts pour contrefaçon.
Extraits de : http://www.commentcamarche.net/
92
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL) encadre l’utilisation des données
personnelles
Le non-respect des obligations est sanctionné pénalement.
La collecte des données
Copyright © 2007 – SecurityKernel
Extraits de : http://www.cnil.fr
il faut recueillir le consentement de la personne pour utiliser une information qui
l’identifie.
Les données doivent être exactes, complètes et mises à jour.
Sauf dérogations, vous ne pouvez pas collecter des données
sensibles (origines raciales ou ethniques, opinions politiques,
philosophiques ou religieuses, appartenance syndicale, données
relatives à la vie sexuelles ou à la santé).
Le fait de collecter des données à caractère personnel par un moyen
frauduleux, déloyal ou illicite est puni de 5 ans d'emprisonnement et de
300 000 € d'amende. (art. 226.18 du code pénal)
93
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL)
Copyright © 2007 – SecurityKernel
Le non-respect des obligations est sanctionné pénalement.
Extraits de : http://www.cnil.fr
La finalité des traitements
Un fichier doit avoir un objectif précis.
Les informations exploitées dans un fichier doivent être cohérentes
par rapport à son objectif.
Les informations ne peuvent pas être réutilisées de manière
incompatible avec la finalité pour laquelle elles ont été collectées.
Tout détournement de finalité est passible de 5 ans d'emprisonnement
et de 300 000 € d'amende. (art. 226.21 du code pénal)
94
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL)
Le non-respect des obligations est sanctionné pénalement.
Copyright © 2007 – SecurityKernel
La durée de conservation des informations
Les données personnelles ont une date de péremption.
Le responsable d’un fichier fixe une durée de conservation
raisonnable en fonction de l’objectif du fichier.
Extraits de : http://www.cnil.fr
Le code pénal sanctionne la conservation des données pour une durée
supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de
300 000 € d'amende. (art. 226-20 du code pénal)
95
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL)
Copyright © 2007 – SecurityKernel
Le non-respect des obligations est sanctionné pénalement.
Extraits de : http://www.cnil.fr
La sécurité des fichiers
Tout responsable de traitement informatique de données personnelles
doit adopter des mesures de sécurité physiques (sécurité des
locaux) et logiques (sécurité des systèmes d’information) adaptées à
la nature des données et aux risques présentés par le traitement.
Le non-respect de l’obligation de sécurité est sanctionné de 5 ans
d'emprisonnement et de 300000 € d'amende. (art. 226-17 du code
pénal)
96
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL)
Copyright © 2007 – SecurityKernel
Le non-respect des obligations est sanctionné pénalement.
Extraits de : http://www.cnil.fr
La confidentialité des données
Seules les personnes autorisées peuvent accéder aux données
personnelles contenues dans un fichier. Il s’agit :
des destinataires explicitement désignés pour en obtenir régulièrement
communication,
des « tiers autorisés » ayant qualité pour les recevoir de façon
ponctuelle et motivée (ex. : la police, le fisc).
La communication d’informations à des personnes non-autorisées est
punie de 5 ans d'emprisonnement et de 300 000 € d'amende. La
divulgation d’informations commise par imprudence ou négligence est
punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 22622 du code pénal)
97
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL)
Copyright © 2007 – SecurityKernel
Le non-respect des obligations est sanctionné pénalement.
Extraits de : http://www.cnil.fr
L’information des personnes
Le responsable d’un fichier doit permettre aux personnes concernées
par des informations qu’il détient d'exercer pleinement leurs droits.
Pour cela, il doit leur communiquer son identité, la finalité de son
traitement, le caractère obligatoire ou facultatif des réponses, les
destinataires des informations, l’existence de droits, les transmissions
envisagées.
Le refus ou l'entrave au bon exercice des droits des personnes est puni
de 1500 € par infraction constatée et 3 000 € en cas de récidive. (art.
131-13 du code pénal et décret 81-1142 )
98
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur :
Loi Informatique et Libertés (CNIL)
Copyright © 2007 – SecurityKernel
Le non-respect des obligations est sanctionné pénalement.
Extraits de : http://www.cnil.fr
La déclaration des fichiers
Certains traitements informatiques de données personnelles qui
présentent des risques particuliers d’atteinte aux droits et aux libertés
doivent, avant leur mise en oeuvre, être déclarés ou soumis à la CNIL.
Voir Le site web www.cnil.fr
Le non-accomplissement des formalités déclaratives est sanctionné de 5
ans d'emprisonnement et 300 000€ d'amende.
99
Usage responsable d’Internet : La loi
Responsabilité de l’administrateur (d’une société):
Concept selon lequel les administrateurs de la doivent remplir certaines obligations pour
garantir la sécurité d’entreprise
Obligation de prudence (Due Care)
Obligation de diligence (Due Diligence)
Copyright © 2007 – SecurityKernel
Assumer la responsabilité de la sécurité de la sécurité
Prouver que la responsabilité est assumée
Prévoir les menaces et les vulnérabilités
Documenter le processus
Implémenter les contrôles
Vérifier que les contrôles sont supervisés et actualisés
Mette en place une équipe qui évalue les menaces et les pertes
Examiner la pertinence de l’analyse des menaces
Evaluation et documentation permanente des risques
La responsabilité et l’absence de mesures appropriées pour la sécurité de
l’information peuvent engendrer les situations suivantes
L’entreprise et le conseil d’administration peuvent être tenus pour responsables (individuellement et
personnellement) : obligation du conseil d’administration envers les actionnaires de protection des biens de
la société
La société peut être responsable envers autrui
Contratuellement
Selon les règles du droit civil
100
Copyright © 2007 – SecurityKernel
Usage responsable d’Internet : La loi
Source : http://www.ac-rouen.fr/rectorat/etab_informatiquee
101
Copyright © 2007 – SecurityKernel
Usage responsable d’Internet : La loi
Source : http://www.ac-rouen.fr/rectorat/etab_informatiquee
Seuls les paranoïaques survivront ???
Copyright © 2007 – SecurityKernel
(Andy Groove, ex-PDG d'Intel)
102
Seuls les paranoïaques survivront ???
103
(Andy Groove, ex-PDG d'Intel)
Copyright © 2007 – SecurityKernel
A vous de juger :
http://www.privacyrights.org/ar/ChronDataBreaches.htm
Date
Qui ?
Détails
Nombre enregistrements
Oct. 23, 2007
Bates College
(Lewiston, ME)
Two publicly accessible documents that contained the
records of nearly 500 recipients of the federal Perkins
Loan, along with each recipient's address, date of birth,
Social Security number, legal name and loan amount,
were accessible on the Bates network.
500
Oct. 28, 2007
Art.com
(Lockbourne, OH)
Cyberspace criminals gained systems entry despite
"multiple security layers" and accessed some credit card
transactions. The retailer of posters, prints and framed
art on Saturday alerted customers that hackers had
gotten into the website to access credit card accounts.
Unknown
Oct. 30, 2007
University of Nevada,
Reno
(Reno, NV)
A University of Nevada, Reno a administrative employee
has lost a flash drive that contained the names and
Social Security numbers of 16,000 current and former
students.
16,000
Nov. 5, 2007
Alabama Department of
Public Health
(Montgomery, AL)
The personal information, including the names, ages and
Social Security numbers of families enrolled in the state's
ALL Kids health care coverage program, were
accidentally sent to the wrong families last week. 1,554
affected families were alerting that some of their
confidential information might have been released.
1,554
Not added to total due to
unclear total.
TOTAL number of records containing sensitive personal
information involved in security breaches (01/01/200511/11/2007)
215,979,650
Copyright © 2007 – SecurityKernel
http://atlas.abor.net
7 Janvier 2008 - 104
US
105
Merci beaucoup pour votre attention !
J’espère que cela vous a intéressé !
Je reste à votre disposition (mail, téléphone):
Pour tous renseignements ultérieurs
Copyright © 2007 – SecurityKernel
Informations
Documentations
Questions
Conseils
Pour d’autres interventions
http://www.securitykernel.eu
Sensibilisation des élèves/parents
Constitution de supports pour vos cours
Interventions ponctuelles sur des sujets précis
Luc Roubat
[email protected]
06.85.73.68.22
106
Le wifi
Réseau Interne
Internet
Point d’accès
de la victime
Copyright © 2007 – SecurityKernel
Risques
Qui vont toutes les deux
La connexion voulue mais mal paramétrée
La connexion « pirate » .. Ou pour se faciliter la vie … non paramétrée !
permettre un accès au réseau/données/ressources interne depuis l’extérieur !!
Permettre un accès internet depuis le réseau interne (botnet, spam, téléchargement
illégaux, hébergement de données illégales, installation de site illégaux …) dont le propriétaire
de l’accès risque d’être tenu pour responsable …
Paramétrage
Toujours utiliser une clef de cryptage WPA,WPA2
Ne plus utiliser de clef WEP
Ne pas diffuser son SSID
Protéger son interface d’administration (mots de passe par défaut)
http://www.tuto-fr.com/tutoriaux/crack-wep/fichiers/videos/video-crack-wep-devine.php