La sécurité informatique

La sécurité informatique

Problématique : Comment gérer les risques liés à la sécurité informatique ?

 

Plan :

  • Description des risques
  • Les cyberattaques
  • Les solutions et prévention
  • Solution concrète exemples de codes

 

Description des risques

 

Premièrement pour pouvoir répondre correctement à cette problématique nous devons bien définir ce qu’est un risque.

 

Il existe deux définitions simple pour caractériser un risque :

Définition 1 : Danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité.

Définition 2 : Éventualité d'un événement futur, incertain ou d'un terme indéterminé, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage.

La sécurité dans les entreprises est de plus en plus abordée car les risques sont de plus en plus présents, ces risques peuvent être différents en peuvent être classés selon deux axes :

  • L’impact (négligeable, mineur, modéré, important, sévère)
  • La probabilité (Très peu probable, peu probable, possible, vraisemblable, très probable)

 

 

Il existe quatre possibilités générales pour gérer un risque et nous verrons un exemple réel de diminuer les risques portant sur l’amélioration des utilisations des mots de passe.

 

Comment gérer ces risques ?

  • L’accepter, un risque mineur peut être laissé s’il n’est pas considéré comme dangereux
  • Le transférer, un pôle sécurité peut s’occuper du problème s’il est détecté
  • Le diminuer, les risques peuvent être diminués, grâce à des protections
  • L’éliminer, une fois un risque détecter la cible visée se protège en conséquences et ainsi évite les nouveaux risques du même type.

 

 

Un exemple concret de risque :

Les fuites de données chez Facebook :

Les données de millions d’utilisateurs de Facebook ont été piratées.

Dernièrement le patron de Facebook, Mark Zuckerberg, a passé cinq heures devant les sénateurs américains, pour sa gestion des mauvais usages de la plateforme, de la protection des données des utilisateurs.

Le problème n’est pas simple, la fuite de données est le fonds de commerce de Facebook, or le RGPD (Règlement général sur la protection des données) est rentré en vigueur depuis mai, Facebook risque de grosses amandes, pas sûr que la fuite de données chez Facebook s’arrête pour autant.

En cas de faille de sécurité affectant des utilisateurs européens, (les chiffres parlent de 5 millions de comptes européens) les autorités de protection des données vont donc se pencher sur les mesures de sécurité mises en œuvres dans le cadre de son système, afin de vérifier que celles-ci sont adaptées.

 

 

 

Les cyberattaques

 

Les principales catégories de risques

 

  • Les risques liés à la conformité, par exemple l’introduction d’une nouvelle loi en matière de sécurité, comme la mise en vigueur du RGPD en mai.
  • Les risques opérationnels, par exemple une panne ou le vol de matériel contenant des informations clés.
  • Les risques stratégiques, par exemple un concurrent pour une entreprise arrivant sur le marché.
  • Les risques financiers, par exemple l’absence de paiement de la part d’un client ou l’augmentation des frais d’intérêts relativement à un prêt commercial.

La cybercriminalité et son coût en 2018

Source : https://www.mcafee.com/enterprise/en-us/assets/reports/restricted/rp-economic-impact-cybercrime.pdf

 

Les cinq types d’attaques les plus répandus aujourd’hui

 

 

1.Denial of Service (DDOS)

 

Cette attaque vise à rendre silencieux, muet, un appareil en le submergeant de connexions. Comment s’en protéger ? Anti-virus, Firewall, Mise à jour des logiciels, Répartition du trafic, Blocage d’IP.

 

 

2.Le ransomware

Leur objectif est de rentre inaccessible des données, le plus souvent en les chiffrant, et demander une rançon au propriétaire en échange de la clé de déchiffrement.

Comment s’en protéger ? Anti-virus, Firewall, Mise à jour des logiciels, S

auvegarder régulière des données et du système, Avoir un plan de secours, Eduquer les utilisateurs sur la bonne hygiène informatique, Ne pas payer les rançons.

 

 

3.Le phishing

Aussi appelé hameçonnage, c’est une manière détournée pour les cyber-escrocs d’amener leur cible à divulguer des informations personnelles, tel que leur mot de passe, leur numéro de carte de crédit, site avec une apparence légitime. Comment s’en protéger ? Anti-virus, Firewall, Mise à jour des logiciels, Ne pas répondre aux liens dans les e-mails non sollicités ou sur Facebook, Ne pas ouvrir les pièces jointes des e-mails non sollicités, Protégez vos mots de passe et ne les révélez à personne, Ne pas transmettre d’informations sensibles, Vérifiez la correspondance entre le lien du mail et l’URL en bas à gauche de la page, Maintenez votre navigateur à jour et appliquez les correctifs de sécurité.

 

 

4.Le Défacement

Le défacement, défaçage ou défiguration, est la modification non désirée de l’affichage d’un site web. Cette modification fait généralement suite à un piratage, ainsi l’hacker détourne le site de sa véritable utilisation, de son réel objectif. Tout d’abord, le pirate peut souhaiter faire passer un message, le plus souvent politique.  Ensuite, il peut se servir de cette modification pour rechercher un certain prestige.

 

 

5.Le Cheval de Troie

Le Cheval de Troie est un type de logiciel malveillant, qui ne doit pas être confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante. Le rôle du cheval de Troie est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur.

 

 

Les solutions et prévention

 

Comment les entreprises peuvent couvrirent ces risques ?

 

Stratégie et gouvernance 

  • Accompagner les directions dans la gouvernance du risque cyber
  • Aider à comprendre la nature des cyber-risques
  • Construire des plans d’actions adaptés aux enjeux métiers

 

Protection de l’organisation

  • Continuité de l’entreprise dans les moments critiques
  • Bonne communication auprès des membres de l’entreprise
  • Accompagner les fonctions de contrôle, mise en place d’automatisation de sécurité comme RPA ou ChatBot

 

Protection de l’information

  • Identifier, cartographier et maitriser les risques liés à ces nouveaux flux de données
  • Accompagner dans la mise en conformité des systèmes d’information

 

Sécurisation du Système d’information

  • Optimiser la délivrance des identités numériques au travers de services de gestion et de gouvernance des identités, des habilitations et des accès
  • Assurer la protection des infrastructures pour préserver durablement l’image de l’entreprise

 

Contrôle et surveillance

  • Mettre sous contrôle les processus critiques afin de détecter les dysfonctionnements et malveillances
  • Tester les infrastructures, applications et processus métier sur leur capacité à résister aux cyberattaques
  • Mettre en place un Security Operations Center (SOC) afin de surveiller l’activités et les vulnérabilités

 

 

 

Solution concrète exemples de codes

'

 

Solution proposée pour améliorer la sécurité :

Contexte étudié :  Les bases de données.

Dans une base de données qui contient des mots de passe, il serait inimaginable de stocker les mots de passe en dur, on va passer par une méthode de hachage.

Qu’est-ce que le hachage ?

La fonction de hachage en informatique et en cryptographie, est une fonction particulière qui à partir d’une donnée en entrée, calcule une empreinte servant à identifier rapidement, la donnée initiale.

Exemple :

 

Voici quelques exemples de type de hachage et leur temps de décryptage maximum :

 

Fonction Vitesse Temps maximum
MD5 150 GH/s 24 Heures
SHA-1 48867 MH/s 75 Heures
SHA-256 19345 MH/s 7 Jours
scrypt 1192 KH/s 354 Années
Bcrypt 133 KH/s 3173 Années

 

On va préférer le hachage au cryptage pour une raison simple.

Le hachage va brouiller le mot de passe et celui-ci sera impossible à inverser, au contraire le cryptage est un brouillage bidirectionnel donc on pourra récupérer le mot de passe entré, voilà pourquoi il ne faut jamais utiliser de cryptage pour les mots de passe. Les tests de code seront réalisés en C#

 

 

 

Solution concrète exemples de codes

 

Cryptage avec la Fonction MD5 :

L’importation de System.Security.Cryptography est nécessaire pour utiliser MD5

Résultat du cryptage avec mot de passe toto

Résultat avec mot de passe toto2 :

 

On peut voir que les mots de passe sont très proche mais que les mots de passe hachés sont très différents.

 

On peut voir que les mots de passe sont très proche mais que les mots de passe hachés sont très différents.

 

Les résultats pour toto et toto2 seront toujours les mêmes, pour avoir un résultat différent à chaque fois il faudra passer au Hachage (voir page suivante)

 

Hachage avec la fonction BScrypt :

 

Résultat compilation 1 :

 

Résultat compilation 2 : 

 

 

Conclusion : En terme de stockage de mots de passe, dans une base de données, il ne faut jamais utiliser de cryptage mais plutôt se diriger comme des techniques de hachage comme le Bscrypt. A partir du hachage il est impossible de retrouver le mot de passe de base (en théorie), tandis qu’avec le cryptage, il est toujours possible de retrouver le mot de passe initial. On peut voir que pour le même mot de passe, le résultat affiché sur la console est différent, contrairement au cryptage (MD5).

La sécurité informatique est un domaine très compliqué, car les technologies utilisées par les hackeurs ne cessent d’évoluer, donc le système de sécurité doit être mis à jour constamment.

 

Glossaire :

Sources :

https://inria.fr/centre/paris/agenda/analyse-de-fonctions-de-hachage-cryptographiques

https://www.mcafee.com/enterprise/en-us/assets/reports/restricted/rp-economic-impact-cybercrime.pdf

https://www.youtube.com/watch?v=_1ONcmFUOxE : Micode : 30 000 mots de passe crackés en 5 minutes

https://www.culture-informatique.net/comment-ca-marche-cryptage

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *