Skip to content

Latest commit

 

History

History
103 lines (61 loc) · 6.61 KB

cm-ge.md

File metadata and controls

103 lines (61 loc) · 6.61 KB

CM GE - Introduction à la sécurité numérique

François Lesueur ([email protected], @FLesueur)

Quelques événements de la sécurité

Passer 30 minutes pour faire un petit tour d'événements de votre choix

Événements orientés "sécurité industrielle", à discuter de vive voix sur la visio

  • Stuxnet, 2010, conçu par US+Israël pour s'attaquer aux centrifugeuses iraniennes (programme nucléaire) détails
  • Nations-Unies, 2018, google dorking, (mdp accessibles sur github/trello puis accès aux ressources, pas spécifique industriel mais similaire en terme de maturité de sécurité) details
  • Vague des "ransomwares" WannaCry et NotPetya, 2017 (Arrêt Renault, Merck, etc. pour Wannacry ; Ukraine, Saint-Gobain, etc. pour NotPetya. Motivations mystérieuses/répétition pour WannaCry, motivation géopolitique pour NotPetya avec le conflit Russie-Ukraine)
  • Un rapport Kaspersky ici, en ouverture optionnelle, à lire plus tard pour approfondir si souhaité

Actualités de la sécurité numérique 2020 (moins prioritaire que les événements de sécu industrielle)

attaques2020.mp3

  • Raccoon détails
  • Carlson Wagonlit victime d'un ransomware
  • Garmin victime d'un ransomware
  • CVE-2020-5902 et CVE-2020-5903
  • DDoS sur les résolveurs DNS détails
  • Huawei et la 5G (question non limitée à Huawei, évidemment)
  • Octopus Scanner détails
  • Wordpress File Manager détails
  • Cyberguerre US-Chine détails
  • Zerologon CVE-2020-1472
  • PulseSecure details
  • Emotet (ransomware) details
  • Altran (ransomware) details

Quelques réflexions plus ou moins personnelles

Contexte général : introsecu2.mp3

Menaces et risque : risques.mp3

  • Outillage/vulns de très simple (script kiddie) à élitiste (nation-sponsored, 0days)
  • Attribution difficile et peu vérifiable pour le monde civil (mélange de magie noire, bluff, BS et lancer de dés), les étatiques ne communiquent pas dessus.
  • Bataille entre grandes puissances, impacts sur tous
  • Au fond, qu'est-ce que c'est que de "faire de la sécurité numérique" ?

Enjeux et acteurs

Les acteurs : acteurs.mp3

Exemple d'enjeu : enjeux.mp3

  • Les organisations (se protéger)
  • Les états (protéger leurs orgas, attaquer les autres, mais tous partagent le même soft/hardware. Ils sont très bons, cyberguerre)
  • Les hackers (s'amuser, se challenger). Attaque nécessaire pour comprendre, créer cette compétence avec éthique. Audit, bug bounties, on apprend comme ça. Les méchants ne nous ont pas attendus, la sécu a augmenté depuis qu'elle est étudiée/challengée. Pas encore compris dans les nouveaux domaines (FUD pacemaker, attaque judiciaire puis finalement patch)
  • L'environnement : des attaquants qui s'adaptent et mènent la danse

Les pans de la sécurité

Sécurité = Confidentialité, Intégrité, Disponibilité : cia.mp3

Les spécificités de la sécurité : specsecu.mp3

(Ici, objectif minimum pour ce cours. Étudier la notion de vulnérabilité si le temps le permet)

Notion de vulnérabilité

Qu'est-ce qu'une vulnérabilité ?

  • Vulnérabilités : partout, toujours, dans plusieurs états (connues et patchées, connues et non patchées, non connues du grand public et non patchées, non connues et non patchées)
  • No disclosure, Full disclosure, Responsible disclosure (Politique Google P0, resp fail) disclosure.mp3
  • Cycle de vie d'une vulnérabilité : Vidéo (Graphisme de Gabriel Augendre [[email protected]], 5TC 2018, CC-BY 4.0)

Quand on sait que certaines vulnérabilités sont non publiques mais utilisée par des états/des groupes avancés, que penser des outils qui disent détecter les menaces inconnues (grâce à l'IA, évidemment) mais ne les ont pas détecté depuis les années qu'elles sont utilisées ?

Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 2.0 France.