Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Securite

    Загружено:

    Berr Walid
    13 просмотров33 страницы
    Informatique

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    Informatique

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    13 просмотров33 страницы

    Securite

    Загружено:

    Berr Walid
    Informatique

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 33

    Sécurité des systèmes d'information

    • Introduction aux attaques

     Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.
    Les attaques: en temps réel
    http://cybermap.kaspersky.com http://map.norsecorp.com/
    Attaques des états
    Menaces informatiques
    Les pirates ont des techniques d'attaques variées et voici quelques exemples :
     Les écoutes (sniffing)

    • Solution:

    • Utiliser des communications


    chiffrée (HTTPS ou un VPN) ;
     Le "cracking"
     L'attaque par dictionnaire

     L'attaque hybride

     L'attaque brute-force

    Solution

    o Utiliser des mots de passe puissants (chiffres et lettres, majuscule et minuscule, et caractères
    spéciaux)

     Dans le cas d’une connexion sur un site web, utiliser double authentification, par exemple ;

    o recevoir des codes par texto (SMS) sur votre téléphone mobile ;

    o obtenir des codes de sécurité avec un Générateur de code (exemple Google Authenticator) ;
     Hijacking

    • Vole le cookie du navigateur

     Solution

    - Utiliser un firewall ;

    - Utiliser des connections sécurisées


    (HTTPS ou VPN) ;

    - Ne clique pas sur n’importe quel lien ;


     Phishing

    Solution

    - Lors du paiement en ligne d'un achat, vérifiez que


    vous êtes sur un site web sécurisé dont l'adresse
    commence par https

    - si un courriel vous semble douteux, ne cliquez jamais


    sur les pièces jointes ni sur les liens qu'il contient

    - ne communiquez jamais votre mot de passe à personne

    - vérifiez que votre antivirus est à jour.

    - dans vos mails ne cliquez pas trop vite sur les liens, même
    s'ils vous paraissent familiers.
    Keylogging

     Pour vous protéger contre ce type d’attaque ;

    - rester vigilant et limiter l’accès des


    personnes a votre PC
    Stealer's

    • Près de 80% des personnes utilisent des


    mots de passe stockés dans leur navigateur

    Solution

    - Eviter l’enregistrement des mots de


    passes sur les navigateurs !
    Phone Hacking
    Pour vous protéger contre ce type d’attaque ;

    • Eviter l’accès physique des personnes à votre téléphone ;

    • Télécharger des applications depuis des sources officielles,

    • et éviter de cliquer sur les liens (réseaux sociaux ou reçus


    par e-mail) !
    USB Hacking (La clé USB piégée) :

    Solution

     ne pas la connecter n’importe USB à


    votre ordinateur.
    L’ingénierie sociale

    Pour vous protéger contre ce type d’attaque ;

     rester vigilant !
    Le faux réseau wifi

    Solution

    • Ne vous connectez jamais à des sites web bancaires ou


    importants (boîte de réception, documents personnels
    stockés en ligne…) en utilisant l'un de ces réseaux
    publics.

    • N'achetez jamais quelque chose en ligne non plus.


    Attendez d'être sur un réseau fiable pour faire vos
    achats.

    • N'installez jamais de mise à jour à partir de l'un de


    ces réseaux.
     Scanner l’adresse IP

    Solution

    • Mettre à jour les logiciels installés sur


    Windows ;

    • Mettre à jours Windows ;

    • Activer firewall ;

    • Ne clique pas sur n’importe quel liens


    • Mesures Techniques

    o Règles indispensables

     Avoir une version de Windows originale, je répète originale pour bénéficier des mise à jours ;

     Activer les mises à jour automatiques de sécurité avec Windows Update ;

     Installez un antivirus ;

     Effectuer des sauvegardes régulières ;

     Changer user et mot de passe par défaut (Admin, Password ) du Box (Modem)
    Antivirus
     Activer le firewall
     Quel pare-feu ?

     Pare-feu de Windows (bien sur si la version de


    Windows est originale) !

     Pare-feu de l’antivirus (dans le cas de


    l’antivirus Kaspersky, il désactive
    automatiquement le firewall de Windows est
    active son propre firewall) !

     Acheter un pare-feu (logiciel ou matériel)


    Autres règles
     Mettre à jour vos applications

     Chiffrer vos données (en cas de perte ou de vol) ;

     Ne téléchargez vos logiciels que depuis des sites;

     Apprenez à reconnaître un site fiable à son adresse (URL).

     Apprenez à reconnaitre les extensions de fichiers potentiellement dangereux (.exe, .pif,


    .scr, .bat, .dll, ...). Dans le doute ne cliquer jamais dessus ou supprimer le Fichier ;
     Utiliser sa messagerie avec vigilance

     Séparer les usages personnels et professionnels

     Être prudent sur Internet : Réseaux sociaux, forums, formulaires, … :


    veillez limiter la diffusion de vos informations personnelles via Internet ;

     Soyez vigilant lors d’un paiement sur Internet ;

     Sécuriser l’accès Wi-Fi ;

     Evitez de donner votre adresse de courrier électronique "n'importe où" et à n’importe qui ;
     Utiliser VPN / Proxy : (réseau privé virtuel) :

    o Proxy ; Change juste l’adresse IP ;

    o VPN ; Change l’adresse IP + chiffre les données ;

    N.B. Eviter les serveurs gratuits


     Utiliser des services gratuits sur le net pour vérifier les liens et les fichiers reçus comme
    https://www.virustotal.com/fr/ : il contienne plus de 30 antivirus pour scanner les liens et les fichiers en ligne
     L’importance des certificats SSL/TLS dans le web !

     HTTPS : protocoles réseaux permettant de sécuriser les accès distants par chiffrement des
    données transmises. A l’aide d’un certificat !

    • Qui délivre les certificats SSL ?

    GlobalSign,
     Symantec,

     Geotrust,

     …
     Les certificats SSL
     En surfant sur différents sites Internet, vous avez sans doute remarqué que l’affichage des adresses
    peut changer suivant les sites consultés. Cela est dû aux certificats utilisés : (à gauche de L’URL)

     Les trois grands types de certificats SSL

     Pour simplifier, on peut dire qu’il existe 3 grandes catégories de certificats :

    1. le certificat de domaine

    2. le certificat à validation d’organisation

    3. le certificat à validation étendue.


     Le certificat SSL de domaine (DV)

    Si vous voulez un certificat simple pour que


    votre site utilise du https, vous devez être le
    propriétaire du nom de domaine (la vérification
    ne prendra que quelques minutes).

     Attention, ce genre de certificats ne garantit en


    rien l’identité de l’entreprise ou de la personne
    qui gère le site !
     Le certificat SSL à validation d’organisation (OV)

     Le certificat à validation d’organisation va plus loin car le


    demandeur doit être le propriétaire de l’entreprise. Donc,
    pour délivrer le certificat à validation d’organisation, le
    fournisseur de certificat va vérifier le propriétaire de
    l’entreprise, il va essayer de contacter l’entreprise par
    d’autres moyens (téléphone, courrier postal, …) en
    lui demandant de répondre. Pour cela, il prendra l’adresse
    et le numéro de téléphone de l’entreprise sur des annuaires
    ou sur des sites tels que l’Insee, Infogreffe, etc… Et dans
    les navigateurs la connexion sur votre site s’affichera
    comme ça :

     N.B. Vous pouvez constater qu’il n’y a pas de


    différence entre les certificats de domaine (DV) et
    certificat de validation d’organisation(OV) .
    Le certificat SSL à validation étendue (EV)

     Le certificat à validation étendue (certificat SSL EV)


    ressemble beaucoup au certificat à validation
    d’organisation (OV), mais il offre le plus haut niveau de
    certification.
     Comme pour le certificat à validation d’organisation
    l’entreprise demandeuse va être contrôlée avant de
    pouvoir obtenir ce type de certificat, mais les contrôles
    seront plus poussés. Les contrôles porteront par exemple,
    sur l’existence légale de l’entreprise, sur la véracité de
    l’ensemble des informations fournies.
     Ce type de certificat est surtout utilisé par les sites
    permettant les transactions bancaires (banques,
    administration, …)
     Ce certificat se portant garant de l’entreprise permet
    l’affichage du nom de l’entreprise dans la barre d’adresse
    du navigateur, comme on peut le voir ci-dessous :
     Un exemple (certificat) : je suis un pirate !

     Prenons un exemple simple : Je suis un pirate et je veux me faire passer pour une banque
    car je veux « pigeonner » les internautes pour récupérer les codes d’accès à leurs comptes
    bancaires.
     Je vais donc faire un superbe site, qui ressemble en tout point à celui d’une banque. Je vais
    m’arranger pour que les utilisateurs se connectent sur mon site en envoyant un mail de
    phishing. Mais, il y aura quelque chose qui va clocher, et si les internautes sont un peu
    vigilants, ils verront tout de suite la supercherie. Car n’étant pas propriétaire du domaine,
    je ne peux pas posséder le certificat qui garantit le site et plus encore, je ne peux même pas
    justifier que je suis le propriétaire de la banque : donc pas d’affichage en vert dans la barre
    d’adresse du navigateur.

    Вам также может понравиться