François Lesueur ([email protected], @FLesueur)
Passer 30 minutes pour faire un petit tour d'événements de votre choix
- Stuxnet, 2010, conçu par US+Israël pour s'attaquer aux centrifugeuses iraniennes (programme nucléaire) détails
- Nations-Unies, 2018, google dorking, (mdp accessibles sur github/trello puis accès aux ressources, pas spécifique industriel mais similaire en terme de maturité de sécurité) details
- Vague des "ransomwares" WannaCry et NotPetya, 2017 (Arrêt Renault, Merck, etc. pour Wannacry ; Ukraine, Saint-Gobain, etc. pour NotPetya. Motivations mystérieuses/répétition pour WannaCry, motivation géopolitique pour NotPetya avec le conflit Russie-Ukraine)
- Un rapport Kaspersky ici, en ouverture optionnelle, à lire plus tard pour approfondir si souhaité
Actualités de la sécurité numérique 2020 (moins prioritaire que les événements de sécu industrielle)
- Raccoon détails
- Carlson Wagonlit victime d'un ransomware
- Garmin victime d'un ransomware
- CVE-2020-5902 et CVE-2020-5903
- DDoS sur les résolveurs DNS détails
- Huawei et la 5G (question non limitée à Huawei, évidemment)
- Octopus Scanner détails
- Wordpress File Manager détails
- Cyberguerre US-Chine détails
- Zerologon CVE-2020-1472
- PulseSecure details
- Emotet (ransomware) details
- Altran (ransomware) details
Contexte général : introsecu2.mp3
Menaces et risque : risques.mp3
- Outillage/vulns de très simple (script kiddie) à élitiste (nation-sponsored, 0days)
- Attribution difficile et peu vérifiable pour le monde civil (mélange de magie noire, bluff, BS et lancer de dés), les étatiques ne communiquent pas dessus.
- Bataille entre grandes puissances, impacts sur tous
- Au fond, qu'est-ce que c'est que de "faire de la sécurité numérique" ?
Les acteurs : acteurs.mp3
Exemple d'enjeu : enjeux.mp3
- Les organisations (se protéger)
- Les états (protéger leurs orgas, attaquer les autres, mais tous partagent le même soft/hardware. Ils sont très bons, cyberguerre)
- Les hackers (s'amuser, se challenger). Attaque nécessaire pour comprendre, créer cette compétence avec éthique. Audit, bug bounties, on apprend comme ça. Les méchants ne nous ont pas attendus, la sécu a augmenté depuis qu'elle est étudiée/challengée. Pas encore compris dans les nouveaux domaines (FUD pacemaker, attaque judiciaire puis finalement patch)
- L'environnement : des attaquants qui s'adaptent et mènent la danse
Sécurité = Confidentialité, Intégrité, Disponibilité : cia.mp3
Les spécificités de la sécurité : specsecu.mp3
(Ici, objectif minimum pour ce cours. Étudier la notion de vulnérabilité si le temps le permet)
Qu'est-ce qu'une vulnérabilité ?
- Vulnérabilités : partout, toujours, dans plusieurs états (connues et patchées, connues et non patchées, non connues du grand public et non patchées, non connues et non patchées)
- No disclosure, Full disclosure, Responsible disclosure (Politique Google P0, resp fail) disclosure.mp3
- Cycle de vie d'une vulnérabilité : Vidéo (Graphisme de Gabriel Augendre [[email protected]], 5TC 2018, CC-BY 4.0)
Quand on sait que certaines vulnérabilités sont non publiques mais utilisée par des états/des groupes avancés, que penser des outils qui disent détecter les menaces inconnues (grâce à l'IA, évidemment) mais ne les ont pas détecté depuis les années qu'elles sont utilisées ?
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 2.0 France.