Partie II Cours 1 : Menaces et attaques

Introduction Panorama des menaces Panorama des attaques L´ egislation

Partie II Cours 1 : Menaces et attaques Odile PAPINI ESIL Universit´ e de la m´ editerran´ ee [email protected] http://odile.papini.perso.esil.univmed.fr/sources/SSI.html

Odile PAPINI

S´ ecurit´ e des Syst` emes d’Information


Plan du cours

1

Introduction

2

Panorama des menaces

3

Panorama des attaques

4

Législation

Odile PAPINI



Intoduction Que prot´ eger ?

Liste des biens ` a prot´ eger

De quoi les prot´ eger ?

Quels sont les risques ?

Liste des menaces

Liste des impacts et probabilit´ es

Comment prot´ eger Liste des contre-mesures

l’entreprise ?

DEMARCHE NORME ISO 17799 Odile PAPINI



Panorama des menaces Les menaces : accidents erreurs malveillance

typologie des incidents norme ISO 17799

Odile PAPINI




accidents

erreurs

malveillance

pertes de services essentiels pannes d’origine interne évènements naturels accidents physiques erreurs de conception erreurs d’utilisation vols ou disparitions infection par virus divulgations attaques logiques actes de dénigrement ou atteinte ` a l’image sabotages physiques intrusions sur les SI fraudes informatiques chantage, extorsion informatique intrusions, accès par un dispositif sans fil Odile PAPINI



Panorama des menaces Accidents

incendie, explosion, implosion dégât des eaux problème d’intégrité du bˆ atiment catastrophes naturelles pannes internes (composant) logiciel de base externes (ex : climatisation, alimentation, · · · )

arrêt de services (EDF, Télécommunications, eau, · · · ) choc, collision, chute, pollution, rayonnement, · · · Odile PAPINI



Panorama des menaces Erreurs

erreurs de saisie, de transmission de données erreurs d’exploitation erreurs de conception dans la réalisation ou la mise en oeuvre des : logiciels procédures

disponibilité des personnes ··· Odile PAPINI



Panorama des menaces Malveillances ce ce ce ce

que que que que

l’on l’on l’on l’on

voit connaˆıt ne connaˆıt pas ne peut pas imaginer

la malveillance n’est pas toujours visible il est toujours possible de d´ estabiliser un site : refus de service inondation : saturation par envoi de courrier électronique blocage de compte par tentatives répétéees de connexion infructueuse Odile PAPINI



Panorama des menaces Malveillances (suite) fraude, sabotage détournement à son avantage (versement, chantage, extorsion, ···) sabotage immatériel (destruction dans le seul but de nuire) dénis de service

indiscrétion ou écoute de ligne détournement copie de message espionnage

actions indésirables spams ou inondation stockage ”pirate” Odile PAPINI



Panorama des menaces Malveillances (suite)

actions + ou - mal intentionnées curiosité, jeu, · · · ) décodeur canal+ craquage de codes (cartes crédits, · · · )

piratage de logiciel craquage de sécurité copie illicite gravage

menaces dues aux télécommunications Odile PAPINI




Malveillances (suite)

Menaces dues aux t´ el´ ecommunications interruptions de service ou disfonctionnement altération des données transmises usurpation d’identitée divulgation d’informations ` a un tiers action malveillante transmise

Odile PAPINI



Panorama des menaces Probl` emes de l’imputabilit´ e, de la r´ epudiation, de la responsabilit´ e lorsqu’un probl` eme intervient, comment prouver : que cela a été envoyé ? qui l’a envoyé ? qu’il a été re¸cu ? par qui ? et par qui d’autres ? qui a fait l’erreur ? qui est propriétaire du support de communication ? qui peut en être garant ? questions fondamentales lors d’un litige Odile PAPINI



Panorama des menaces Probl` emes de l’imputabilit´ e, de la r´ epudiation, de la responsabilit´ e

´ el´ ements de r´ eponses : identification(identifiant ↔ entité) autentification(garantir l’identifiant) chiffrement le scellement informatique accusé de réception tunnel de données ··· Odile PAPINI



Panorama des menaces D´ esinformation, propagande, d´ estabilisation, cr´ edulit´ e

falsification des sons, des images, des vidéos véracité de l’information d’où vient l’information ? qui l’a fournie ? après ”vu à la télé”, ”vu sur internet” ?

Quelles cons´ equences ? Odile PAPINI



Panorama des menaces Evolution des menaces quelques chiffres (sources CLUSIF) accidents 24% : en baisse (effets matériels palpables) erreurs 14% : en forte baisse (amélioration de la qualité des logiciels) malveillance 62% : en forte hausse (en progression constante)

Odile PAPINI



Panorama des menaces Evolution des menaces aspect politico-´ economique

jusqu’` a la fin des ann´ ees 1980 : contexte de guerre froide aspect militaire de la sécurité : règles du jeu claires : qui menace ? que protéger ? : les informations sensibles comment les protéger ?

aujourd’hui : contexte de guerre ´ economique menaces tout azimut : qui : le concurrent, le terroriste, · · · quoi : toutes les informations de l’entreprise comment : les réseaux, les intervenants extérieurs, les virus, · · · Odile PAPINI



Panorama des attaques programmes malveillants programmes qui exploitent les vulnérabilités du Système appelés “malware” fragments de programmes nécissant un programme hôte (virus, bombe logique, porte dérobée) programmes autonomes indépendants (vers, robot) peuvent se répliquer ou non

menaces sophistiquées sur les systèmes informatiques

Odile PAPINI




attaques virales attaques techniques attaques classiques

Odile PAPINI



Panorama des attaques attaques virales : Porte d´ erob´ ee (backdoor) Fonction d’un programme non autorisée et qui ne participe en rien aux objectifs officiels d’un programme à priori malveillante d’aucune utilité autre que pour son concepteur s’exécute à l’insu de l’utilisateur exemples : SGBD Interbase 2001, Linux 2003

Odile PAPINI



Panorama des attaques attaques virales : Porte d´ erob´ ee (backdoor) exemples SGBD Interbase 2001 nom d’utilisateur : politically, mot de passe : correct

Linux 2003 2 lignes de C dans la fonction sys-wait4 if ((options == ( WCLON | WALL)) && (current->uid = 0))

retval = -EINVAL ;

Odile PAPINI



Panorama des attaques attaques virales : Cheval de Troie (Tojan) Programme, jeu, commande ayant une fonction annoncée et en réalisant une autre (illicite) attaque classique s’exécute à l’insu de l’utilisateur exemple 2005 : cheval de troie envoyé par email ou intégré à un CD contenant une fausse proposition commerciale. Une fois installée et contre 3000 euros, le concepteur fournissait à son client une adresse IP, un nom d’utilisateur et un mot de passe pour accéder au PC de sa victime Odile PAPINI



Panorama des attaques attaques virales : Cheval de Troie exemples Back Orifice : logiciel d’administration et de prise de contrˆ ole a` distance de machines utilisant Windows Subseven : l’un des chevaux de troie les plus connus, en 2000 il a intoduit : surveillance par caméra (Webcam capture) surveillance en temp réel du bureau Windows (Desktop Capture) le vol de mots de passe (Recorded Password) par lequel subseven détecte les écrans de demande de mot de passe (Windows, Internet · · · ) permet la capture-clavier (Keylogger) pour récupérer les numéros de cartes de crédits

autres chevaux de Troie : ByteVerify, XXXDial, · · · Odile PAPINI




attaques virales : Bombe logique Action malveillante généralement différée chantage racket

Odile PAPINI



Panorama des attaques attaques virales : Virus programme illicite qui s’insére dans des programes légitimes appelés hˆ otes se reproduit automatiquement, se transmet, peut avoir des actions retardées se répand au travers d’internet, de disquettes, de clés USB analogie avec la biologie : contagion virus système, virus résident en mémoire, virus programme, virus macro, virus polymorhe ou mutant, virus de scripts Odile PAPINI




attaques virales : Virus exemple Tchernobyl ou CIH Yamanner Cabir ...

Odile PAPINI



Panorama des attaques Structure d’un virus composants : mécanisme d’infection : permet la réplication déclenchement : évènement qui rend la charge active charge du virus : ce qu’il fait, action maveillante ou bénine

ajout au début à fin au milieu d’un programme exécutable blocage de l’infection initiale (difficile) blocage de la propagation (contrˆ ole d’accès)

Odile PAPINI



Structure d’un virus : exemple (1)

Fig.: source : W. Stallings, L. Brow Odile PAPINI



Structure d’un virus : exemple (2)





Classification des virus virus d’amor¸cage virus programme virus de macro virus chiffré virus furtif virus polymorphe virus metamorphique

Odile PAPINI



Panorama des attaques Macro virus très courant depuis le milieu des années 1990 indépendant des plateformes infecte les documents, se répand facilement

exploite les capacités des applications de logiciels de bureautique (word, excel, · · · ) programme exécutable incorporé dans un document infecte les documents

versions récentes des logiciels de bureautique ont des protections reconnus par de nombreux programmes anti-virus Odile PAPINI



Panorama des attaques e-mail virus développements plus récents en général : utilise les macros d’un document attaché (en word) à l’ouverture du document attaché la macro est activée : le virus envoie des messages ` a toutes les adresses de la liste d’adresses de l’utilisateur localement, il occasionne des dégˆ ats sur le système de l’utilisateur

version plus récentes : déclenchement du virus à lecture du message : propagation encore plus rapide Odile PAPINI



Panorama des attaques Mesures contre les virus prévention : solution idéale mais difficile réaction : plus réaliste détection identification retrait

en cas de détection mais impossiblité d’ identification ou de retrait

remplacement du programme infecté Odile PAPINI



Panorama des attaques Evolution des anti-virus les technologies des virus et anti-virus ont évolué ensemble premiers virus : fragments de code faciles ` a retirer virus de plus en plus complexes : les contre-mesures aussi 4 générations de logiciels anti-virus première génération : scanners simples (recherche de signature) deuxième génération : règles heuristiques pour la recherche de fragments de code troisième génération : identification des actions du virus quatrième génération : combinaison de plusieurs techniques Odile PAPINI



Panorama des attaques Approche anti-virus plus sophistiquée : Déchiffrement Générique (DG) lance l’exécution de fichier exécutable avec DG analyse émulateur CPU pour l’interprétation des instructions analyse de virus pour contrˆ oler les signatures de virus module de contrˆ ole d’émulation pour gérer le processus

laisse le virus se dechiffrer dans l’interpreteur analyse périodiquement pour repérer des signatures de virus problème : durée de l’interpretation et de l’analyse compromis entre chance de détection et durée Odile PAPINI



Approche anti-virus plus sophistiquée : Système immunitaire informatique




Approche anti-virus plus sophistiquée : Logiciel de blocage




Panorama des attaques attaques virales : Vers (worm) Processus parasite qui consomme, détruit et se propage sur le réseau n’a pas besoin d’un programme hˆ ote pour se reproduire (contrairement au virus) se reproduit par ses propres moyens sans contaminer de programme hˆ ote souvent écrits sous forme de script intégrés dans un courriel, une page html

Odile PAPINI



Panorama des attaques Vers Programme qui se duplique et se propage sur le net par courrier électronique, exécution, ouverture de session à distance

comporte des phases comme un virus dormant, propagation, déclenchement, exécution phase de propagation : recherche d’autres systèmes, connection à ceux-ci, auto-copie sur ceux-ci et exécution

peut se déguiser en processus système

Odile PAPINI



Panorama des attaques Vers : exemple Morris worm l’un des vers les plus connus (concepteur Robert Morris 1988) diverses attaques sur les systèmes UNIX craquage de fichiers de mots de passe : pour se connceter à d’autres sytèmes exploitation d’un bug dans le “protocle finger”(pour données personnelles) exploitation d’un bug dans le processus d’envoi et de reception de messages électroniques

succès de l’attaque : accès ` a distance de shell

Odile PAPINI



Vers : modèle de propagation




Panorama des attaques Vers : exemples d’attaques Code Redx juillet 2001 utilise un bug de Microsoft MS IIS adresses IP aléatoires, attaque de deni de service (DDoS) actif consomme une capacité de réseau signifitive

Code Red II : variante utilisant des portes dérobées SQL Slammer 2003, attaque sur serveur MS SQL compact et diffusion très rapide

Mydoom 2004 : envoi en masse de messages électronique installe des portes dérobées pour accès distant dans les fichiers infectés Odile PAPINI




Vers : technologie multi plate-forme “multi exploit” diffusion trés rapide polymorphique métamorphique véhicules de transport “zero-day exploit”

Odile PAPINI



Panorama des attaques Mesures contre les vers recouvre de nombreuses techniques anti-virus dès que le vers est dans le système un logiciel anti-virus peut être utilisé pour le détecter un vers développe une activité réseau importante les approches de défense contre les vers filtrage par analyse de signatures confinement basé sur des filtres confinement basé sur chargement-classification détection par analyse de chemin aléatoire taux de limitation et taux d’arrêt Odile PAPINI



Vers : confinement actif




Vers : défense basée réseaux





attaques virales : Canular (Hoax) messages diffusant de fausses alertes au virus messages diffusant des rumeurs encombrement des boˆıtes aux lettres encombrement du réseau ralentissement de l’activité

Odile PAPINI




Odile PAPINI




Odile PAPINI




attaques techniques : Hame¸connage (Phishing) piegeage de l’utilisateur en lui faisant croire qu’il s’adresse à un tiers de confiance pour lui soutirer des informations confidentielles (mot de passe, no de carte de crédit ...) on lui demande son mot de passe on lui demande de le changer exemple : services bancaires en ligne, sites de ventes aux enchères (Ebay)

Odile PAPINI



Panorama des attaques attaques techniques : Hame¸connage (Phishing) : exemple l’utilisateur re¸coit un message :

Odile PAPINI




attaques techniques : Hame¸connage (Phishing) exemple il va cliquer sur le lien il croit qu’il se connecte sur le site LCL il saisit des informations confidentielles MAIS il ne se connecte sur un faux site LCL et un pirate récupère ces informations

Odile PAPINI



Panorama des attaques attaques techniques : Hame¸connage (Phishing) : rapport APWG (2006-2007) 37 444 sites frauduleux signalés nombre d’attaques par hame¸connage :

Odile PAPINI




attaques techniques : Craquage (Cracking) craquage de mot de passe à l’aveuglette comparaison du chiffrement de mots de passe supposés et de mots chiffrés dans le fichier /etc/passwd ou /etc/ypasswd exemple : craquage de de jeux ou de logiciels

Odile PAPINI




attaques techniques : Renifflage (Sniffing) analyse du traffic pour récupérer mots de passe et informations confidentielles sondes pla¸cées sur le réseau pour écouter et récupérer des informations à la volée solutions : protocoles de communication sécurisés (ex SSH, SSL)

Odile PAPINI




attaques techniques : Mascarade (Spoofing) utilisation de l’adresse IP d’une machine afin d’en usurper l’identité. récupération de l’accès ` a des informations en se faisant passer la machine dont elle a usurpé l’adresse IP création de paquets IP avec une adresse IP source appartenant à quelqu’un d’autre

Odile PAPINI




attaques techniques : Smurfing attaque du réseau IP envoi d’un message ` a une adresse fausse provoque la saturation et le blocage du réseau

Odile PAPINI




attaques techniques : Piratage t´ el´ ephonique (Phreaking) utilisation du réseau téléphonique d’une manière non prévue par l’opérateur, afin d’accéder ` a des fonctions spéciales, en général pour ne pas payer les communications et rester anonyme exemple : Captain Crunch

Odile PAPINI




attaques techniques : Composeur d’attaques (Dialer) logiciel balayant une série de numéros de téléphones à la recherche d’un ordinateur distant Le logiciel compose des numéros de téléphone dont le côut d’appel est surtaxé exemple : années 1990, (besoin d’un MODEM)

Odile PAPINI



Panorama des attaques attaques techniques : Rootkit programme ou ensemble de programmes permettant de maintenir dans le temps un accès frauduleux ` a un SI s’utilise après une intrusion et l’installation d’une porte dérobée fonction principale : camoufler la mise en place de plusieurs portes dérobées opère des modifications sur les commandes systèmes l’installation d’un rootkit nécessite des droits d’administrateur exemple : octobre 2005 Rootkit SONY-BMG Odile PAPINI



Panorama des attaques attaques techniques : D´ enis de service (DoS) rendre une application informatique incapable de répondre aux requêtes des utilisateurs types d’attaques nombreux : débranchement de la prise d’un serveur saturation d’un élément chargé d’animer l’application exemple : bombe fork D´ enis de service distribu´ es (DDoS) repose sur la parallélisation d’attaques DoS menées simultanément par plusieurs systèmes Odile PAPINI



Panorama des attaques attaques techniques : Robots programmes malveillants permettant une prise de contrˆ ole à distance de machines vulnérables afin de former un réseau d’attaque caché (botnet) pour s’implanter le robot utilise une méthode classique il peut être déposé sur la cible par spam, vers, virus, cheval de troie ... il peut posséder son propre module de propagation et exploite : une vulnérabilité des partages ouverts (open share) des mots de passe faibles ou manquants

exemple : Hollande octobre 2005 (rapport CLUSIF) Odile PAPINI



Panorama des attaques cybersurveillance R´ eseau d’´ ecoute Echelon (USA +UK) technologies interceptées 1956 : signaux radio HF 1965 cables sous-marins 1968 micro-ondes 1970 satellites 1980 réseaux digitaux 1990 fibres optiques 2000 internet / portables

Odile PAPINI



Panorama des attaques cybersurveillance R´ eseau d’´ ecoute Echelon (USA +UK)

Odile PAPINI



Panorama des attaques cybersurveillance R´ eseau d’´ ecoute Echelon (USA +UK) objectif officiel : lutter contre terrorisme grand banditisme MAIS aussi : intrusion/interception espionnage industriel politique vie privée Odile PAPINI




cybersurveillance Autres r´ eseaux d’´ ecoute Frenchelon & ESSAIM (fran¸cais) Nice Track (belge) Magic Lantern (FBI) SORM (russe) ···

Odile PAPINI



Panorama des attaques cybersurveillance Frenchelon & ESSAIM cr´ ee en 2003 surveillance radar, radio orbite 680 km d’altitude 4 microsatellites sur des orbites perpendiculaires station de contrˆ ole ` a Toulouse

LSI ou loi Sarkosy II (mars 2003) conservation des données relatives au trafic sur Internet ! ! ! Odile PAPINI




attaques classiques vol détournement destruction sabotage chantage exemples : (rapports CLUSIF)

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF ) vols de code source chantage, extorsion, racket sur Internet cyberterrorisme menaces sur la mobilité (téléphones) hame¸connage économie souterraine espionnage industriel vols et pertes de données, d’ordinateurs, de supports de sauvegarde harcèlement Odile PAPINI




cybercriminalit´ e (CLUSIF ) panorama 2006 les mules vols d’identité SPIT nouvelles opportunités de ”spamming” manipulation du cours de la bourse vulnérabilités et attaques ”0-Day” écoutes et enquêtes ` a haut risque

Odile PAPINI




cybercriminalit´ e (CLUSIF) panorama 2007 mondes virtuels attaques en réputation piratage pour focaliser l’attention espionnage industriel réseaux sociaux : nouvelles opportunités de malveillance

Odile PAPINI




cybercriminalit´ e (CLUSIF) panorama 2007 sophistication des attaques enjeux malveillants sur le e-commerce fraude aux cartes bancaires via internet escroqueries via les sites d’enchères

faits marquants “cyber-guerre” en Estonie “cyber-attaques” chinoises

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) : Les mondes virtuels

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) : Les mondes virtuels

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) : Les mondes virtuels les mondes virtuels ont des monnaies virtuelles

Odile PAPINI




cybercriminalit´ e (CLUSIF) : Les mondes virtuels piratage sur les mondes virtuels : chevaux de Troie, vol de mot de passe virus hamme¸connage (phishing) exploitation de tiers (farming)

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF ) : Les mondes virtuels chevaux de Troie, vol de mot de passe

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF ) : Les mondes virtuels virus

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) : Les mondes virtuels hamme¸connage

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) : Les mondes virtuels exploitation de tiers

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF 2008) : Les mondes virtuels fournisseurs et éditeurs dont il faut se méfier

Odile PAPINI




cybercriminalit´ e (CLUSIF) panorama 2007 attaques en deni de service (DoS ou DDoS) CastleCops organismes de lutte anti-spam et anti-phishing

attaques en réputation CastleCops : donations frauduleuses

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) panorama 2007 : attaques en réputation : donations frauduleuses virements Paypal effectués au profit de CastleCops source des donations : comptes bancaires piratés par phishing montant des donations : 1 ` a 2800 US $ CastleCops : coupable désigné image altérée perte de temps, de moyens, d’argent vérifications, comptabilité, remboursements actions en justice blocage de compte

Odile PAPINI




cybercriminalit´ e (CLUSIF) panorama 2007 : espionnage industriel volume d’affaires d’espionnage industriel ne faiblit pas espionnage industriel : employés de l’entreprise 2 grandes affaires dans le monde de la Formule 1 en 2007 Mc Laren et Ferrari Renault-F1 et Mc Laren

Odile PAPINI



Panorama des attaques cybercriminalit´ e (CLUSIF) panorama 2007 : réseaux sociaux : opportunités de malveillance nombreux réseaux sociaux sur internet (Classmates, Facebook, Myspace etc..) pour certains d’entre eux : des millions d’inscrits possibilités d’attaques accès frauduleux : Facebook 2007 impostures : Myspace 2007 infections : Myspace 2007

Odile PAPINI



Panorama des attaques Les clubs,observatoires associations, sites internet CLUSIF, CLUb de la Sécurité Informatique en France http ://www.clusif.asso.fr OSSIR, Observatoire de la Sécurité des systèmes d’Information et des Réseaux http ://www.ossir.org CRU, Centre des Réseaux Universitaires http ://www.cru.fr CNRS et UREC, Unité des Réseaux du Cnrs http ://www.cnrs.fr/Infosecu Odile PAPINI



Législation loi informatique et libert´ es no 78-17 du 6/01/78 relative à l’informatique et aux libertés (modifiée en 92 et en 93) loi relative ` a la fraude informatique 92-957 du 01/07/92 loi relative aux infractions aux r` egles de cryptologie du 29/07/81, modifiée le 26/07/96, modifiée le 17/03/99 d´ ecret no 99-199 du 17/03/99 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée ` a celle d’autorisation d´ ecret no 99-200 du 17/03/99 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalié péalable

Odile PAPINI



Législation loi sur la signature ´ electronique 200-230 du 13/03/00 l’écrit électronique signé a la même valeur que l’écrit signé sur papier équivalence papier électronique en présence de signature la signature électronique ”jusqu’` a preuve du contraire” authentifie le signataire et garantit l’intégrité du document (article 4) Loi sur la signature électronique 200-230 du 13/03/00 revient ` a faire confiance ` a l’organisme qui fournit la signature électronique

loi de r` eglementation des t´ el´ ecomunications du 26/07/96 r` egles au niveau europ´ een lignes directrices au niveau mondial (OCDE) Odile PAPINI



Législation Criminalit´ e des hautes technologies (OCLCTIC)

criminalit´ e informatique (d´ efinitions) toute action illégale dans laquelle un ordinateur est l’instrument ou l’objet d’un délit (délit dont le moyen ou le but est d’influencer la fonction de l’ordinateur) tout acte intentionnel associé d’une manière ou d’une autre ` a la technique informatique dans laquelle une victime a subi ou aurait pu subir un préjudice et dans laquelle l’auteur a tiré ou aurait pu intentionnellement tirer profit

cybercriminalit´ e ensemble des infractions pénales susceptibles de se commettre sur des réseaux de télécommunications en général et plus particulièrement sur les réseaux partageant Internet Odile PAPINI



Législation Code p´ enal

article 323.1 accéder frauduleusement ` a un système de traitement automatisé de l’information

article 323.2 entraver ou fausser un système de traitement automatisé de l’information

article 323.3 introduire frauduleusement des données dans un système de traitement automatisé de l’information

conduit ` a un d´ elit p´ enal passible de : 3 ans d’emprisonnement 50 000 euros d’amende Odile PAPINI



Législation

Quelques sites

http ://www.journal-officiel.gouv.fr http ://www.legifrance.gouv.fr http ://www.jurifrance.gouv.fr http ://www.justice.gouv.fr

Odile PAPINI



Législation

Quelques organismes officiels

CNIL : http ://www.cnil.fr DCSSI : http ://www.ssi.gouv.fr CESTI OCLCTIC : http ://www.interieur.gouv.fr/police/oclctic ART : http ://www.art-telecom.fr CERT

Odile PAPINI



Législation CNIL : Commission Nationale de l’Informatique et des Libert´ es (http ://www.cnil.fr) ses missions : recenser les fichiers en enregistrant les demandes d’avis et les déclarations, en tenant ` a jour et en mettant ` a disposition du public le ”fichier des fichiers” contrˆ oler en procédant ` a des vérifications sur place r` eglementer en établissant des normes simplifiées pour les traitements les plus courants et les moins dangereux garantir le droit d’accès en exer¸cant le droit d’accès indirect, en particulier au fichier des Renseignements Généraux instruire les plaintes informer les personnes de leurs droits et obligations, conseiller, proposer des mesures Odile PAPINI



Législation Loi Informatique et des Libert´ es : droits et obligations Tout traitement automatis´ e d’informations nominatives doit, avant sa mise en oeuvre, ˆ etre d´ eclar´ e ou soumis ` a la CNIL afin : de responsabiliser les utilisateurs de données nominatives de permettre ` a la CNIL de contrˆ oler et d’influencer les choix effectués r` eglementer en établissant des normes simplifiées pour les traitements les plus courants et les moins dangereux d’assurer grˆ ace ` a la publicité ` a laquelle elles donnent lieu, la transparence nécessaire ` a l’exercice des droits des personnes concernées par les traitements

Odile PAPINI



Législation Nature des formalit´ es un r´ egime d’avis pour le secteur public : les traitements publics sont crées par un acte règlementaire après avis motivé de la CNIL un r´ egime d´ eclaration pour le secteur priv´ e un r´ egime d´ eclaration simplifi´ e pour les traitements les plus courants, publics ou privés exemple : quel sera la finalité du fichier ? quelles informations vont être enregistrées, pendant combien de temps ? qui y aura accès ? ` a quel service les personnes peuvent-elles s’adresse pour exercer leur droit d’accès ? Odile PAPINI



Législation DCSSI : Direction Centrale de la S´ ecurit´ e des Syst` emes d’Information (http ://www.ssi.gouv.fr) dépend du premier ministre ses missions : ´ evaluer les procédés de chiffrement, les produits et systèmes agr´ eer les équipements, produits, · · · utilisés pour le traitement des données classées défense proc´ eder ` a l’agrément des CESTI certifier les produits évalués par les CESTI instruire les demandes autour de la cryptologie ´ elaborer et distribuer les clés de chiffrement pour le secteur public ou privé participer aux actions de normalisation Odile PAPINI



Législation

les CESTI : Centres d’Evaluation de la S´ ecurit´ e des Technologies d’Information centres publics ou priv´ es missions : ´ evaluer évaluer de fa¸con indépendante et suivant des r` gles de schémas fournis les produits en vue de la certification DCSSI proposer de l’expertise

Odile PAPINI



Législation OCLCTIC : Office Central de Lutte Contre la Criminalit´ e li´ ee aux Technologies de l’Information et de la Communication (http ://www.interieur.gouv.fr/police/oclctic) dépend de la Police Nationale double mission : op´ erationnelle

réalisation d’enquêtes judiciaires de haut niveau technique menées d’initiative ou à la demande des magistrats assistance technique à l’occasion d’enquêtes menées par d’autres Services (pédophilie, prostitution,trafic de stup., · · · ) strat´ egique

formation, animation et coordination de l’action des autres services r´pressifs, compétents en matière d’infractions liées aux technologies de l’information et de la communication coopération internationale Odile PAPINI



Législation ART : Autorit´ e de R´ egulation des T´ el´ ecommunication (http ://www.art-telecom.fr) liens entre l’ART et l’informatique vecteur de transport de l’information réseaux métropolitains, inter-régionaux, inter-entreprises, · · · → fournisseurs indirects de télécommunication loi de r` eglementation des t´ el´ ecommunications du 26/07/96 établit une nouvelle répartition des missions de régulation au sein de l’état avec la création d’une autorité administrative autonome. Les missions : favoriser l’exercice au bénéfice des utilisateurs d’une concurrence effective, loyale et durable veiller au développement de l’emploi, de l’innovation et de la compétitivité dans le secteur des télécommunications prendre en compte les intérêts des territoires et des utilisateurs dans l’accès aux services et aux équipements Odile PAPINI



Législation les CERT : Computer Emergency Response Teams groupes au service d’une communaut´ e identifi´ ee Renater (Reseau National Technologie Enseignement Recherche) missions : r´ eagir efficacement et au plus vite sur les probl` emes de s´ ecurit´ e

compétence techniques pointues points de contact en cas de problème relations avec les autres organismes volonté de prévention

Odile PAPINI



Législation les CERT : Computer Emergency Response Teams 3 CERT en France

CERT Renater (enseignement, recherche) http ://www.renater.fr/Securite/CERT Renater.htm CERT A (administration) http ://www.ssi.gouv.fr/rubriq/certa.htm CERT IST (Industrie, Services, Tertiaire) http ://www.ssi.gouv.fr/rubriq/certa.htm coordination europ´ enne

TF-CSIRT organisation mondiale des CERT : FIRST

FIRST : Forum of Incident Response and Security Team http ://www.first.org/ les 3 CERT fran¸cais sont int´ egr´ es dans le FIRST Odile PAPINI



Panorama des attaques Les solutions matérielles : firewall proxy protocoles sécurisés, · · · logicielles : politique de sécurité contrˆ ole d’accès anti-virus anti-spyware systèmes de détection d’intrusion utilisation de la biométrie Odile PAPINI
