-
Notifications
You must be signed in to change notification settings - Fork 6
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Francois Lesueur
committed
Sep 17, 2020
1 parent
566bb53
commit b1f022a
Showing
7 changed files
with
29 additions
and
15 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
|
|
@@ -5,35 +5,44 @@ _François Lesueur ([[email protected]](mailto:francois.lesueur@insa | |
| ATTENTION, NON FINALISÉ ! | ||
| ========================= | ||
|
|
||
| Classes d'attaques | ||
| ============= | ||
| Les pans de la sécurité | ||
| ================== | ||
|
|
||
| Sécurité = Confidentialité, Intégrité, Disponibilité | ||
| Sécurité = Confidentialité, Intégrité, Disponibilité : <audio controls src="media/cia.mp3"></audio> | ||
|
|
||
| * Réseau | ||
| * Passif (écoute) | ||
| * Actif : MitM, être sur le chemin (physique, ethernet ARP spoof, IP rogue DHCP) (NSA, FAI, INSA, attaque équipement sur la route, attaque sur l'hôte) | ||
| * Logiciel : RCE, élévation de privilèges, WEB, natif, fautes logiques : vivre dans l'insécurité | ||
| * Social engineering (pas la faute de l'utilisateur !) : voler des accès, phishing de qualité, passwords, carte de crédit. De grossier à ciblé, utilisation de facebook pour connaître les amis, ceux qui sont en vacance, où, etc. De beaux site en https avec une petite typo. Mail spoofing. Attraper 1 parmi 1000. Trop facile de taper sur l'utilisateur, les systèmes ne sont pas adaptés, les informaticiens sont nul en compta. Accompagner, prévoir, surveiller. [Schneier : "Stop trying to fix the user"](https://www.schneier.com/blog/archives/2016/10/security_design.html) | ||
| Les spécificités de la sécurité : <audio controls src="media/specsecu.mp3"></audio> | ||
|
|
||
| Sécu défensive et sécu offensive (dans le respect de la loi, bien évidemment) : <audio controls src="media/defoff.mp3"></audio> | ||
|
|
||
| Pourquoi ces problèmes de sécurité ? | ||
|
|
||
| Notion de vulnérabilité | ||
| ================ | ||
|
|
||
| Qu'est-ce qu'une vulnérabilité ? | ||
|
|
||
| * Vulnérabilités : partout, toujours, dans plusieurs états (connues et patchées, connues et non patchées, non connues du grand public et non patchées, non connues et non patchées) | ||
| * No disclosure, Full disclosure, Responsible disclosure ([Politique Google P0](https://googleprojectzero.blogspot.com/2020/01/policy-and-disclosure-2020-edition.html), [resp fail](https://gadgets.ndtv.com/laptops/news/google-project-zero-microsoft-windows-10-zero-day-exploit-vulnerability-symcrypt-2053185)) | ||
| * Cycle de vie d'une vulnérabilité (non publique mais utilisée nation-sponsored/elite, perspective avec les outils qui disent les détecter mais ne les ont pas vues depuis x années) | ||
| * No disclosure, Full disclosure, Responsible disclosure ([Politique Google P0](https://googleprojectzero.blogspot.com/2020/01/policy-and-disclosure-2020-edition.html), [resp fail](https://gadgets.ndtv.com/laptops/news/google-project-zero-microsoft-windows-10-zero-day-exploit-vulnerability-symcrypt-2053185)) <audio controls src="media/disclosure.mp3"></audio> | ||
| * Cycle de vie d'une vulnérabilité : <video src="media/cycledevie.mkv"></video> | ||
|
|
||
| ![Cycle de vie (Graphisme de Gabriel Augendre [[email protected]] CC-BY 4.0](cycle-de-vie.png) | ||
| _(Graphisme de Gabriel Augendre [[email protected]], 5TC 2018, CC-BY 4.0)_ | ||
|
|
||
| * La sécurité est un process et non un état | ||
| * Barrière sécurité/développement (dévs non sécu, sécu non dévs, communication pas simple) | ||
| * Infrastructure : endroit de mitigation possible. Rustiner ! Défense en profondeur. | ||
| Quand on sait que certaines vulnérabilités sont non publiques mais utilisée par des états/des groupes avancés, que penser des outils qui disent détecter les menaces inconnues (grâce à l'IA, évidemment) mais ne les ont pas détecté depuis les années qu'elles sont utilisées ? | ||
|
|
||
| Classes d'attaques | ||
| ============= | ||
|
|
||
| * Réseau | ||
| * Passif (écoute) | ||
| * Actif : MitM, être sur le chemin (physique, ethernet ARP spoof, IP rogue DHCP) (NSA, FAI, INSA, attaque équipement sur la route, attaque sur l'hôte) | ||
| * Logiciel : RCE, élévation de privilèges, WEB, natif, fautes logiques : vivre dans l'insécurité | ||
| * Social engineering (pas la faute de l'utilisateur !) : voler des accès, phishing de qualité, passwords, carte de crédit. De grossier à ciblé, utilisation de facebook pour connaître les amis, ceux qui sont en vacance, où, etc. De beaux site en https avec une petite typo. Mail spoofing. Attraper 1 parmi 1000. Trop facile de taper sur l'utilisateur, les systèmes ne sont pas adaptés, les informaticiens sont nul en compta. Accompagner, prévoir, surveiller. [Schneier : "Stop trying to fix the user"](https://www.schneier.com/blog/archives/2016/10/security_design.html) | ||
|
|
||
|
|
||
| Que faire ? | ||
| ======== | ||
|
|
||
| Systèmes fondamentalement non sûrs donc côté infra : | ||
| Systèmes fondamentalement non sûrs. L'infrastructure est un endroit de mitigation possible : | ||
|
|
||
| * défense en profondeur | ||
| * cloisonnement | ||
|
|
||
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters