François Lesueur ([email protected], @FLesueur)
Sécurité = Confidentialité, Intégrité, Disponibilité : cia.mp3
Les spécificités de la sécurité : specsecu.mp3
Sécu défensive et sécu offensive (dans le respect de la loi, bien évidemment) : defoff.mp3
Qu'est-ce qu'une vulnérabilité ?
- Vulnérabilités : partout, toujours, dans plusieurs états (connues et patchées, connues et non patchées, non connues du grand public et non patchées, non connues et non patchées)
- No disclosure, Full disclosure, Responsible disclosure (Politique Google P0, resp fail) disclosure.mp3
- Cycle de vie d'une vulnérabilité : Vidéo (Graphisme de Gabriel Augendre [[email protected]], 5TC 2018, CC-BY 4.0)
Quand on sait que certaines vulnérabilités sont non publiques mais utilisée par des états/des groupes avancés, que penser des outils qui disent détecter les menaces inconnues (grâce à l'IA, évidemment) mais ne les ont pas détecté depuis les années qu'elles sont utilisées ?
- Réseau reseau.mp3
- Passif (écoute)
- Actif : MitM, être sur le chemin (physique, ethernet ARP spoof, IP rogue DHCP) (NSA, FAI, INSA, attaque équipement sur la route, attaque sur l'hôte)
- Logiciel natif.mp3 : RCE, élévation de privilèges, WEB, natif, fautes logiques : vivre dans l'insécurité. On peut discuter (discord) de buffer overflows, format strings, type de vulnérabilités web, ...
- Social engineering (pas la faute de l'utilisateur !) utilisateur.mp3 : voler des accès, phishing de qualité, passwords, carte de crédit. De grossier à ciblé, utilisation de facebook pour connaître les amis, ceux qui sont en vacance, où, etc. De beaux site en https avec une petite typo. Mail spoofing. Attraper 1 parmi 1000. Trop facile de taper sur l'utilisateur, les systèmes ne sont pas adaptés, les informaticiens sont nul en compta. Accompagner, prévoir, surveiller. Schneier : "Stop trying to fix the user"
Systèmes fondamentalement non sûrs. L'infrastructure est un endroit de mitigation possible :
- défense en profondeur
- cloisonnement
- surveillance
- partage
- patch management
- La sécurité n'est pas une liste d'outils ! éviter la collection (HalvarFlake blackhat ASIA 2017), les outils complexes et privilégiés.
- Ce qu'on va voir, ce qu'on ne va pas voir
- Séances (cours, TP, article, discord)
À approfondir par vous-mêmes, en bonus :
- Virus
- Vers
- Chevaux de Troie
- Backdoors
- Rootkits
- Botnet
- Keylogger
- Ransomware
- (liste non exhaustive)
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 2.0 France.
