Академический Документы
Профессиональный Документы
Культура Документы
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Objectifs
Apprhender les notions de test dintrusion et daudit de scurit
dinformation
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Who am I
Consultant scurit chez Intrinsec
5 ans dexprience professionnelle
Spcialits
Test intrusion (applicatif, externe, interne, etc.) Simulation vol ordinateur portable Social Engineering Audit Technique (Architecture, Configuration, etc.) Audit de code (PHP, ASP.NET, Java, etc.) Audit Organisationnel (ISO 2700x) Formation aux mthodes dattaques
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Droulement
Vendredi 11 octobre
Introduction gnrale Collecte dinformations Travaux pratiques (??)
Vendredi 25 octobre
Attaques sur les rseaux
Infrastructure et Architecture Filtrage Sans-fil
Droulement
Vendredi 15 novembre
Attaques rseaux
VPN ToIP
Travaux pratiques
Vendredi 29 novembre
Attaques systmes
Windows Linux Bases de donnes
Droulement
Vendredi 6 dcembre
Attaques Web
OWASP Testing Guide Authentification Session Utilisateurs
Vendredi 13 dcembre
Attaques Web
Validation des donnes Habilitations
Travaux Pratiques
Droulement
Jeudi 19 dcembre
Examen final (??)
Notation
A dfinir 1 ou 2 valuations (QCM possible)
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Dfinitions et Rappels
En France
Le fait d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement automatis de donnes est puni de deux
Dfinitions et Rappels
En consquence avant de mener tout test actif
Prvenir les quipes en charge du primtre ou de lquipement Obtenir un accord crit du propritaire de lquipement ou du responsable du traitement du primtre
Exemple : Un site Web hberg chez un tiers
Dfinitions et Rappels
Scurit des systmes dinformation (SSI)
Ensemble des moyens techniques, organisationnels, juridiques et
Critres de scurit
Disponibilit : Garantir laccs un service ou des ressources Intgrit : Garantir la non altration dune donne ou dun systme Confidentialit : Garantir laccs une information aux seules personnes ayant besoin de la connatre
Dfinitions et Rappels
Mais aussi
Traabilit (ou Preuve) : Garantir que toute transaction sensible
(accs, tentative daccs, etc.) est trac. Les traces doivent tre
conserves et exploitables
un primtre
Menace
Action susceptible de nuire dans labsolu sur un ou plusieurs critres de scurit
Dfinitions et Rappels
Vulnrabilit (ou faille)
Faiblesse sur un systme informatique permettant un attaquant de
Contre-mesure
Action visant prvenir une menace
Dfinitions et Rappels
En conclusion, le risque, en scurit informatique est gnralement dfinit par lquation suivante
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Test dintrusion
Quest ce quun test dintrusion ?
Eprouver la scurit dun primtre donn en simulant un niveau dattaque
Objectifs
Fournir une valuation concrte de la scurit Sensibiliser la scurit par la dmonstration Conseiller sur les actions correctrices
Test dintrusion
Test Intrusion Interne
Evaluer la capacit de malveillance dun utilisateur interne (employ,
Test dintrusion
Test Intrusion Externe
Evaluer la capacit de malveillance dun attaquant (internaute anonyme ou authentifi, vers, robot, etc.) sur des quipements
Test dintrusion
Test Intrusion Application Web
Evaluer la capacit de malveillance dun utilisateur anonyme ou authentifi sur une application Web (externe ou interne)
Plusieurs objectifs
Accs non autoris lapplication ou des donnes Contournement dune logique mtier
Test dintrusion
Etapes dun test dintrusion
Dcouverte de nouvelles vulnrabilits
Enumration du primtre
Reporting
Enumration du primtre
Cette phase permet de rcuprer le maximum dinformations sur la cible
Nom dutilisateur Adresse IP Adresse Email Services disponibles (FTP, SSH, etc.)
Test dintrusion
Comment trouver des informations sur la cible ?
Moteurs de recherche
Test dintrusion
Forums
Rseaux sociaux
Social Engineering
Prendre contact avec un employ de la socit (email, tlphone, fax, etc.) Rcupration dinformations confidentielles (mot de passe, renseignements techniques, numro de tlphone, adresse
IP, etc.)
Test dintrusion
Base whois
Test dintrusion
Interrogation DNS
Test dintrusion
Scan de ports
Test dintrusion
Identification des vulnrabilits
Des tests manuels ou automatiss sont effectus lors de cette phase afin didentifier les vulnrabilits sur la cible
Analyse de la bannire dun service
Rponse un stimuli particulier
Test dintrusion
Exploitation des vulnrabilits
Permet de valider lexistence ou non dune vulnrabilit
Test dintrusion
Reporting
Phase de rdaction permettant de rpertorier notamment :
Les vulnrabilits rencontres
Les scnarios dattaque Les recommandations de correction
Test dintrusion
Diffrentes mthodologies existent pour raliser un test
dintrusion
OSSTMM (www.isecom.org/osstmm/)
Mthodologie gnrale de test dintrusion
ISSAF (www.oissg.org)
Mthodologie gnrale dvaluation dun systme dinformation recouvrant divers aspects notamment
Organisationnel Procdure
Technique
Test dintrusion
OWASP (www.owasp.org)
Fournit de nombreux documents et outils sur la scurit applicative
notamment
OWASP Top Ten : Document fournissant le Top 10 des vulnrabilits les plus rencontres sur les applications Web
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Audit Scurit
Quest ce quun audit scurit ?
Evaluation du niveau de scurit du systme dinformation ou dun
Objectif
Fournir un tat des lieux du niveau de scurit (points forts et faibles) Analyse en profondeur (organisationnelle et technique)
Audit Scurit
Pourquoi un audit de scurit ?
Etat des lieux : Se faire une ide du niveau de scurit du SI Proactif :
Tester la mise en place effective dune politique de scurit Evaluer lvolution du niveau de scurit
Inconvnients
Ne fournit pas une valuation dmonstrative des vulnrabilits Ne se substitue pas une analyse des risques
Audit Scurit
Audit organisationnel
Analyse des processus SSI et mtier (thmatiques ISO27002)
Politique de scurit Organisation de la scurit Gestion des actifs Scurit dans les ressources humaines
Audit Scurit
Audit technique
Infrastructures
Architectures (rseau, virtualisation, stockage, etc.), filtrages, etc.
Equipements (configuration)
Actifs rseaux, serveurs, etc.
Audit Scurit
ISO19011:2002
Lignes directrices pour l'audit des systmes de management de la
Principes de laudit
Dontologie : le fondement du professionnalisme Prsentation impartiale : lobligation de rendre compte de manire honnte et prcise Conscience professionnelle : lattitude diligente et avise au cours de
laudit
Audit Scurit
Principes (suite)
Indpendance : le fondement de limpartialit de laudit et de
daudit systmatique
Audit Scurit
Normes ISO 27001
Spcifie les exigences pour mettre en place, exploiter, amliorer un SMSI (Systme de Management de la Scurit de lInformation)
ISO 27002
Description dtaille des mesures de scurit prconises dans lISO 27001
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Veille
Comme tout domaine en informatique, la scurit est un domaine qui volue Il est important de rester inform sur les dernires vulnrabilits et techniques dattaques Les diapositives suivantes ne prtendent pas tre exhaustives
Mais permet davoir une bonne base
Veille
Vulnrabilits
www.secunia.com www.vupen.com www.securityfocus.com
Exploit
www.exploit-db.com packetstormsecurity.org www.metasploit.com
Veille
Mailing list
seclists.org (pentest, full disclosure, etc.)
Applicatif
OWASP (www.owasp.org)
Ressources diverses
www.sans.org www.nist.org www.cert.org
Veille
Hacking Map
http://www.mindmeister.com/fr/11594999/hacking
Confrences
OSSIR : www.ossir.org SSTIC : www.sstic.org Nuit du Hack Hackito Ergo Sum Black Hat Defcon
Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils
Outils
Diffrents outils sont utiliss lors dun test dintrusion (ou dun audit) Chaque outil sa fonction et son utilit Piges viter
Un outil ne remplace pas une analyse humaine
Outils
Ecoute rseau passive
Wireshark (www.wireshark.org ) : Outil permettant de capturer et
Outils
Ecoute rseau active
Cain et Abel(www.oxid.it) : Vritable couteau suisse permettant
Outils
Cassage de mot de passe
John the ripper (www.openwall.com/john ) : Outil permettant de
Outils
Scanners rseau
Nmap (nmap.org) : Scanner de ports permettant notamment
Outils
Scanners de vulnrabilits
Qualys (www.qualys.com ): Scanner de vulnrabilits systmes et
Outils
Environnement Test dintrusion
Backtrack (www.backtrack-linux.org) : Distribution Linux contenant
Outils
Cette distribution contient une panoplie doutils
Bluetooth
Fuzzers
Base de donnes Cassage de mots de passe
Sniffers
Wifi VoIP Application Web Framework dexploits .
Questions ?